PSRecon – PowerShell取证数据获取 - APT防御产品

PSRecon – PowerShell取证数据获取

http://p6.qhimg.com/t012be159b74f73e717.jpg

现场事件响应和取证数据采集往往是一个非常消耗时间的过程,而且需要消耗大量的人力资源。不仅如此,整个处理过程还会产生很多的错误和疏漏,甚至还有可能导致电子证据被破坏。在调查某一事件的过程中,往往会涉及到很多的工作人员,这也就使得整个数据处理过程变得更加的困难了。通常在检索系统的过程中,证据可以在短时间内被可疑的用户篡改或截获。正因为这些数据可以被篡改,进而导致电子证据无法提供法律上的有效性证明,所以法庭有的时候并不会接受电子证据作为呈堂证供。

为了解决这一问题,Labs研发出了一个现场事件响应和取证数据采集的PowerShell脚本。这个脚本程序仅通过一个本地的Windows工具,就可以收集当前状态下的电子证据和系统数据。这个脚本还包含账号锁定功能,这个功能可以在脚本对活动目录进行数据采集的时候,有效地阻止可疑主机对系统的访问。

点击下载:https://github.com/gfoss/PSRecon/

http://p0.qhimg.com/t01bb9d0a77cddf4258.png

图片1:PSRecon的图标

PSRecon能够使用系统内置的PowerShell(V2或更高版本)对远程Windows主机进行数据收集工作,将收集到的数据整理到文件夹之中,然后对所有提取到的数据进行哈希加密,最后将所有经过加密的数据以HTML格式发送给安全团队。这些数据经过这一系列的处理之后,可以在各个组织和机构之间进行共享,也可以通过电子邮件进行发送,还可以直接保存在本地。

http://p4.qhimg.com/t01082bd23978319020.png

图片2:PSRecon基本数据采集

当需要进行调查取证的目标主机系统感染了恶意软件的时候,尤其是当这些恶意软件能够感染企业中其他重要的计算机系统时,这个脚本所提供的锁定功能将会变得非常的有用。有的时候,阻止恶意软件传播的最快速并且最有效的方法就是将这个主机下线,直到这个主机恢复安全状态为止。

在隔离主机之后,PSRecon还允许你禁用当前帐户的活动目录,然后在当前状态下进行取证数据的采集工作。这个脚本所提供的所有选项能够将大多数常用的手动操作变成一种流水线操作,它可以帮助技术人员轻而易举地从远程目标主机中提取出取证数据,而且也可以远程地将目标系统从当前的网络中隔离出来。

http://p8.qhimg.com/t01fb2dd9f54ca024a7.png

图片3:带有HTML报告的电子邮件示例

从报告文件中,你可以准确地了解到目标主机各个部分的重要数据。其中,我最喜欢的一个地方就是这些数据之间都是相互独立的,因此我可以与别人共享这些数据,而不必考虑这些数据是否需要依赖于中央服务器。图片信息甚至都直接编码进HTML报告之中了。

http://p4.qhimg.com/t01a3662f11bbc7debb.png

图片4:HTML报告中的图片编码

除此之外,如果你有一个专业的事件响应团队,那么你就可以同时将这份报告发送给你的团队成员们了。如果有更多的人来检查这些电子证据,那么就可以更加快速和轻松地发现威胁所在。这样一来,我们不仅可以缓解这些安全威胁,并且快速完成一项调查分析任务,而且我们还能够从远程主机中获取到取证数据,这有助于事件响应人员更好地掌控全局。

说到这里,我们就不得不提到SIEM了。这个脚本可以直接整合进LogRhythm之中,然后作为一个智能响应系统(SmartResponse)来执行这个脚本,该系统可以与各种AIE警报器协同工作。

http://p0.qhimg.com/t01f5db3e6102d4d667.png

图片5:SmartResponse与AIE

目前可用的SmartResponse功能有:

1.    收集本地数据并且通过电子邮件发送报告/共享信息/传递附加参数;

2.    收集远程数据并且通过电子邮件发送报告;

3.    收集远程数据(包括客户电子邮件)并且通过电子邮件发送报告;

4.    远程锁定和隔离目标主机;

5.    禁用AD账号和锁定主机;

这个系统能够与LogRhythm的事件管理工作流程协同工作。这种工作机制不仅有助于技术人员创建安全事件的时间轴,而且还能够帮助技术人员收集取证数据,并自动执行系统防御命令。提到事件的时间轴,PSRecon还会将事件记录写入日志文件之中,并且根据日志文件的信息来追踪和验证目标主机的各种活动。这是非常棒的一个功能,它将有助于技术人员了解这个脚本在可疑的目标主机中到底执行了那些操作。

http://p2.qhimg.com/t0179912bef8d8f9c38.png

图片6:登录目标主机

既然我们谈论到了系统登录,PSRecon还会对针对它自身的攻击事件进行记录…让我们来假设这样一个场景,如果有一个人尝试去入侵另一名员工的浏览器,那么他就必须对一个用户可控域进行XSS攻击。这些攻击事件会被检测到,并且记录在日志文件中。当然了,我们还有成千上万种可行的方法,当这个脚本被集成到安全基础设施之后,这只是一个小小的附加防御措施而已。

http://p3.qhimg.com/t01da4537d0c7a5d9aa.png

图片7:XSS攻击示例

PSRecon将一个耗时很长的,繁琐的,结果往往不够准确的信息处理过程转变为了一个简单的,快速的,并且高效的数据采集过程。除此之外,它还精简了很多在事件响应处理的过程中技术人员并不需要关心的繁琐操作。以前,往往需要很多天的时间,工作人员才能够得到取证数据,但在这个功能强大的工具帮助之下,研究人员就可以快速和从容地应对各种安全威胁了。

这个项目目前仍处于测试阶段,我很期待安全社区的信息安全从业者们能够提供关于这个项目的反馈信息,你们新颖的思路和高质量的代码都可以帮助我提升这个工具的质量。那么,请移步GitHub代码库进行查看吧,如果你对这个项目有什么意见或者建议,请务必与我联系。

Github:https://github.com/gfoss/PSRecon/

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。


转载请注明出处 APT防御产品 » PSRecon – PowerShell取证数据获取

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址