Negli ultimi anni, diversi incidenti informatici hanno messo in luce l’uso di strumenti legittimi, come PsExec, per compiere attacchi informatici.
PsExec è un tool leggero e versatile sviluppato da Sysinternals, che ora fa parte di Microsoft.
Il tool consente agli amministratori di sistema di eseguire processi su sistemi remoti, permettendo un controllo approfondito delle macchine all’interno di una rete. L’utente può eseguire programmi e comandi su client remoti come se fossero eseguiti localmente.
Data la sua flessibilità, adattabilità e legittimità viene spesso utilizzato dagli attaccanti per effettuare “lateral movement” all’interno della rete compromessa.
Le sue features principali sono:
- Esecuzione Remota: permette l’esecuzione di comandi e programmi su sistemi remoti.
- Utilizzo di Credenziali: è possibile utilizzare username e password per l’autenticazione.
- Modalità Interattiva o in Background: consente di eseguire applicazioni in modalità interattiva o in background.
- Non richiede l’installazione: Non c’è bisogno di installare software addizionale sul sistema remoto, è sufficiente che il file psexesvc.exe sia presente nella directory C:\
- Supporto per la redirezione dell’input/output: è possibile visualizzare e interagire con finestre applicative su sistemi remoti.
Ma per poterlo utilizzare, devono concorrere le seguenti condizioni: l’utente deve far parte del gruppo “administrators” locale, la share ADMIN$ deve essere disponibile e l’opzione “File and Printer Sharing” deve essere abilitata.
JoinTheQuest!
Download del tool al link: https://learn.microsoft.com/en-us/sysinternals/downloads/psexec