Кратко: PsExec — легитимная утилита из пакета Sysinternals от Microsoft. Она позволяет удалённо выполнять команды на Windows-машинах без установки софта на клиенте, используя SMB-протокол и создавая временную службу на целевой системе . Это удобно для админов. Но этим же пользуются хакеры для латерального перемещения, выполнения команд с правами SYSTEM и развёртывания вредоносного ПО . Это как служебный пропуск: у админов он для работы, у хакеров — для взлома.

🧠 Как это работает PsExec использует протокол SMB (Server Message Block) для подключения к скрытому административному ресурсу ADMIN$ на удалённой машине . Процесс выглядит так: 1. Подключение по SMB: Устанавливается соединение с удалённым компьютером. 2. Загрузка службы: На целевую машину копируется файл PSEXECSVC.exe . 3. Создание и запуск службы: PsExec подключается к менеджеру служб Windows (services.exe) и создаёт временную службу с именем PSEXESVC . 4. Выполнение команды: Через эту службу запускается переданная команда (например, cmd.exe). 5. Создание именованного канала: Для передачи данных (ввода-вывода) между клиентом и удалённой командой создаётся именованный канал, обычно \\.\pipe\psexesvc . Этот процесс в MITRE ATT&CK классифицируется как Service Execution (T1569.002) и Remote Services: SMB/Windows Admin Shares (T1021.002) .

⚙️ Базовые команды Запуск интерактивной оболочки на удалённом хосте: psexec \\\\MACHINE_IP -u Administrator -p P@ssw0rd -i cmd.exe

Опция -i запускает процесс в интерактивном режиме, -u и -p задают учётные данные. Если их не указывать, будут использованы текущие .

Выполнение одной команды: psexec \\\\MACHINE_IP "C:\\Windows\\System32\\calc.exe"

Просто запускает калькулятор на удалённой машине .

Запуск с правами SYSTEM (-s): psexec -s cmd.exe Запускает командную строку с наивысшими привилегиями LOCAL SYSTEM . Хакеры используют это для создания скрытых учётных записей или отключения защиты .

🕵️‍♂️ Почему хакеры любят PsExec · Легальность: Подписан Microsoft, поэтому антивирусы редко блокируют его . · Простота: Работает "из коробки" на всех современных Windows (нужны права администратора и доступ к ADMIN$). · Функциональность: Позволяет выполнять код с правами SYSTEM, удалённо управлять командной строкой и передавать файлы. · Надёжность: Используется в продвинутых атаках (BlackCat, RID Hijacking) и инструментах (Impacket) . Пример из реальных атак: Группа Andariel (Lazarus) использовала PsExec для получения прав SYSTEM, создания скрытой учётной записи и повышения её прав (RID Hijacking), чтобы оставаться незамеченной .

🛡️ Как обнаружить и защититься Мониторинг: · Процессы: Отслеживайте запуск psexec.exe и создание службы PSEXESVC (Sysmon Event ID 1, 13, 14) . · Сетевые подключения: Следите за соединениями от psexec.exe и обращением к SMB-портам (445) . · Именованные каналы: Мониторьте создание каналов \\.\pipe\psexesvc . · Строки команд: Ищите accepteula, -s, -u, -p, \\\\ (признак удалённого запуска) . Ограничение: · Attack Surface Reduction (ASR): Используйте правило "Блокировка создания процессов из PSExec и WMI" . · Минимальные права: Ограничьте круг пользователей, которым разрешён доступ к ADMIN$. · Белые списки: Разрешите запуск только из доверенных директорий (например, C:\Windows\System32) .

Главный вывод: PsExec — мощный, но двусторонний инструмент. Для админов он упрощает жизнь, для хакеров — даёт готовый путь к захвату сети. Если вы не используете его для администрирования, лучше отключить его полностью. Если используете — внимательно мониторьте его активность, чтобы вовремя заметить атаку.

#psexec #windows #lateralmovement #sysinternals #кибербезопасность #infosec #миграция #активдиректори