Posts by tag
powershell
ก่อนหน้านี้มี powershell script สำหรับ security มากมายออกมา แต่ต้องลำบากในการรันมากเพราะต้องไปเปิดใน Windows ที่โคตะระช้า ล่าสุด Microsoft ได้ปล่อย powershell ที่สามารถรันใน Linux ได้ออกมาแล้วครับ แล้ว Kali ก็เอาวิธีการติดตั้งมาบอกครับ โดยวิธีการทำคือดังนี้ 1. Update Source list และติดตั้ง source ของ Microsoft
2.…
|
1 2 3 4 |
apt update && apt -y install curl gnupg apt-transport-https curl https://packages.microsoft.com/keys/microsoft.asc | apt-key add - echo "deb [arch=amd64] https://packages.microsoft.com/repos/microsoft-debian-stretch-prod stretch main" > /etc/apt/sources.list.d/powershell.list apt update |
ก่อนหน้านี้ผมเคยพูดถึงเรื่องการติดตั้ง Sysmon เพื่อคอยเก็บ log การทำงานใดๆบนเครื่อง ไม่ว่าจะเป็นการใช้งานคำสั่ง การสร้างไฟล์ การเปลี่ยนเวลาของไฟล์ และอื่นๆ โดยเปิด Event Viewer ขึ้นมา จากนั้นไปที่ Applications and Services Logs\Microsoft\Windows\Sysmon\Operational แต่หากเราต้องการจะ view log ของ Sysmon ผ่านทาง Powershell ก็สามารถทำได้เช่นกัน โดยใช้คำสั่งเป็น
หากต้องการดูเฉพาะ activity…
|
1 |
Get-WinEvent -filterhashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=XX} |
Microsoft ได้เปิดตัวเครื่องมือสำหรับการหา module การใช้งานต่างๆของ Powershell โดยให้ชื่อว่า PowerShell Module Browser ซึ่งเป็นเว็บไซด์ online ของ Microsoft เอง โดยเมื่อทำการค้นหามันจะมีรายละเอียดของ module นั้นๆขึ้นมาให้ หากใครสนใจก็ลองเข้าไปใช้งานดูได้ครับ Link
FireEye ได้ออก paper น่าสนใจในเรื่องการตรวจจับ Powershell ที่ทำมาเพื่อประสงค์ร้ายและพยายามการหลบเลี่ยงการตรวจจับด้วยวิธีการ obfuscate ต่างๆ ผมสรุปคร่าวๆไว้ให้ดังนี้ครับ การตรวจจับ 1. Process Auditing and Command Line Logging เราสามารถตรวจจับและดู command line argument ได้โดยดูจาก EventID 4688 ซึ่ง Windows ที่ support การเก็บ log…
Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher…
เราต่างทราบกันดีว่าตั้งแต่ Windows 7 เป็นต้นมาก็มีการติดตั้ง Powershell มาให้โดย default ซึ่ง Powershell มีประสิทธิภาพในการใช้งานต่างๆไม่ต่างกับการใช้งาน terminal ใน Linux เลยทีเดียว ทีนี้มาดูกันว่าการใช้งาน Powershell ในเชิง Network เราสามารถใช้คำสั่งอะไรได้บ้างครับ 1. ดู Network information (คล้ายๆ ipconfig) PS> Get-NetIPConfiguration 2. List network…
LINE@Techsuii.com
Recent Comments