E-book details

PowerShell w cyberbezpieczeństwie. Automatyzacja zadań, tworzenie skryptów, hakowanie i obrona. Red Team kontra Blue Team

PowerShell w cyberbezpieczeństwie. Automatyzacja zadań, tworzenie skryptów, hakowanie i obrona. Red Team kontra Blue Team

Miriam C. Wiesner, Tanya Janca

Ebook

PowerShell jest domyślnie instalowany w każdym nowoczesnym Windowsie. To ogromne udogodnienie dla administratorów i... potężne narzędzie w rękach cyberprzestępców. Funkcje oferowane przez PowerShell mogą zarówno zwiększyć bezpieczeństwo infrastruktury IT, jak i wspierać działania ofensywne. A zatem musisz dogłębnie poznać PowerShell!

Dzięki tej książce przyswoisz podstawy PowerShella i zasady pisania skryptów, a następnie przejdziesz do zagadnień związanych z PowerShell Remoting. Nauczysz się konfigurować i analizować dzienniki zdarzeń Windows, dowiesz się również, które zdarzenia są kluczowe do monitorowania bezpieczeństwa. Zgłębisz możliwości interakcji PowerShella z systemem operacyjnym, Active Directory i Azure AD / Entra ID. Poznasz protokoły uwierzytelniania, procesy enumeracji, metody kradzieży poświadczeń i eksploatacji, a także zapoznasz się z praktycznymi wskazówkami dla zespołów czerwonego i niebieskiego (ang. Red Team i Blue Team). Zrozumiesz też takie metody ochrony jak Just Enough Administration (JEA), AMSI, kontrola aplikacji i podpisywanie kodu.

W książce między innymi:

  • użycie PowerShella do ochrony systemu i wykrywania ataków
  • wgląd w dzienniki zdarzeń z poziomu PowerShella
  • PSRemoting i ryzyko ― obejścia i najlepsze praktyki
  • uzyskiwanie dostępu do systemu, jego eksploracja i przejmowanie kontroli
  • zastosowanie PowerShella w zespołach czerwonym i niebieskim
  • zastosowanie JEA do ograniczania wykonywania wybranych poleceń

Napastnik nie poczeka, aż opanujesz PowerShell!

O autorce

O recenzentach

Przedmowa

Wstęp

CZĘŚĆ 1. Podstawy PowerShella

  • Rozdział 1. Pierwsze kroki z PowerShellem
    • Wymagania techniczne
    • Czym jest PowerShell?
      • Historia powłoki PowerShell
      • Dlaczego powłoka PowerShell jest tak użyteczna w kontekście cyberbezpieczeństwa?
    • Rozpoczęcie pracy z PowerShellem
      • Wprowadzenie do programowania zorientowanego obiektowo (OOP)
      • Windows PowerShell
      • PowerShell Core
      • Polityka wykonywania skryptów (Execution Policy)
      • System pomocy
      • Wersje PowerShella
      • Edytory skryptów powłoki PowerShell
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 2. Podstawy skryptów PowerShell
    • Wymagania techniczne
    • Zmienne
      • Typy danych
      • Zmienne automatyczne
      • Zmienne środowiskowe
      • Słowa zastrzeżone i słowa kluczowe
      • Zasięg zmiennych
    • Operatory
      • Operatory arytmetyczne
      • Operatory porównania
      • Operatory przypisania
      • Operatory logiczne
    • Struktury sterujące
      • Warunki
      • Pętle i iteracje
    • Konwencje nazewnictwa
      • Wyszukiwanie zatwierdzonych czasowników
    • Profile PowerShell
    • Dyski PSDrives w PowerShellu
    • Tworzenie kodu wielokrotnego użytku
      • Polecenia cmdlet
      • Funkcje
      • Różnica między poleceniami cmdlet a funkcjami zaawansowanymi
      • Aliasy
      • Moduły
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 3. Technologie PowerShell Remote Management i PSRemoting
    • Wymagania techniczne
    • Praca zdalna z PowerShellem
      • PowerShell Remoting przy użyciu WinRM
      • Windows Management Instrumentation (WMI) i Common Information Model (CIM)
      • Open Management Infrastructure (OMI)
      • PowerShell Remoting przy użyciu SSH
    • Włączanie PowerShell Remoting
      • Ręczne włączanie PowerShell Remoting
      • Konfigurowanie PowerShell Remoting za pomocą zasad grupy (Group Policy)
    • Punkty końcowe PowerShell (konfiguracje sesji)
      • Łączenie się z określonym punktem końcowym
      • Tworzenie niestandardowego punktu końcowego - spojrzenie na JEA
    • Uwierzytelnianie i kwestie bezpieczeństwa PowerShell Remoting
      • Uwierzytelnianie
      • Protokoły uwierzytelniania
      • Zagadnienia związane z bezpieczeństwem uwierzytelniania typu Basic
      • Kradzież poświadczeń w kontekście PowerShell Remoting
    • Wykonywanie poleceń przy użyciu PowerShell Remoting
      • Wykonywanie pojedynczych poleceń i bloków skryptów
      • Praca z sesjami PowerShell
    • Najlepsze praktyki
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 4. Wykrywanie - audyt i monitorowanie
    • Wymagania techniczne
    • Konfigurowanie rejestrowania zdarzeń PowerShell
      • Logowanie działania modułów PowerShell
      • Rejestrowanie działania bloków skryptów PowerShell
      • Chronione rejestrowanie zdarzeń
      • Transkrypcje PowerShell
    • Analiza dzienników zdarzeń
      • Wyszukiwanie dzienników zdarzeń dostępnych w systemie
      • Ogólne zapytania dotyczące zdarzeń
      • Jaki kod został wykonany w systemie?
      • Ataki typu downgrade
      • EventList
    • Wprowadzenie do rejestrowania zdarzeń
      • Przegląd najważniejszych dzienników zdarzeń związanych z PowerShellem
      • Zwiększanie maksymalnego rozmiaru dziennika
    • Podsumowanie
    • Gdzie warto zajrzeć?

CZĘŚĆ 2. Odkrywamy tajemnice - AD/AAD, tożsamości, dostęp do systemu i codzienne zadania związane z bezpieczeństwem

  • Rozdział 5. PowerShell to narzędzie o ogromnych możliwościach - dostęp do systemu i interfejsów API
    • Wymagania techniczne
    • Wprowadzenie do rejestru systemu Windows
      • Praca z rejestrem
      • Scenariusze użycia rejestru w kontekście bezpieczeństwa
    • Uprawnienia użytkownika
      • Konfiguracja praw dostępu użytkownika
      • Minimalizacja ryzyka poprzez nadawanie uprawnień do tworzenia kopii zapasowych i przywracania danych
      • Delegowanie i personifikacja
      • Zapobieganie fałszowaniu dzienników zdarzeń
      • Zapobieganie kradzieży poświadczeń i atakom z wykorzystaniem pakietu Mimikatz
      • Dostęp do systemu i domeny
      • Zmiana ustawień czasu systemowego
      • Sprawdzanie i konfigurowanie uprawnień użytkownika
    • Podstawy interfejsu Windows API
    • Wprowadzenie do .NET Framework
      • .NET Framework a .NET Core
      • Kompilacja kodu C# przy użyciu .NET Framework
      • Zastosowanie polecenia Add-Type do bezpośredniej interakcji z .NET
      • Ładowanie niestandardowej biblioteki DLL z poziomu PowerShella
      • Wywoływanie Windows API za pomocą mechanizmu P/Invoke
    • Model COM i zagrożenia związane z przechwytywaniem COM
      • Ataki typu COM hijacking
    • Common Information Model (CIM)/WMI
      • Przestrzenie nazw
      • Dostawcy
      • Subskrypcje zdarzeń
      • Monitorowanie subskrypcji zdarzeń WMI/CIM
      • Manipulowanie instancjami CIM
      • Enumeracja
      • Gdzie znajduje się baza danych WMI/CIM?
    • Uruchamianie PowerShella bez powershell.exe
      • Używanie istniejących narzędzi do wywoływania funkcji zestawów
      • Binarne pliki wykonywalne
      • Wykonywanie poleceń PowerShell z poziomu .NET Framework przy użyciu C#
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 6. Active Directory - ataki i przeciwdziałanie
    • Wymagania techniczne
    • Wprowadzenie do Active Directory w kontekście bezpieczeństwa
    • Jak przebiegają ataki w środowisku korporacyjnym?
    • ADSI, akceleratory ADSI, LDAP i przestrzeń nazw System.DirectoryServices
    • Wyliczanie
      • Wyliczanie kont użytkowników
    • Wyliczanie obiektów GPO
    • Wyliczanie grup
    • Konta i grupy uprzywilejowane
      • Wbudowane grupy uprzywilejowane w usłudze AD
    • Ataki typu password spraying
      • Zapobieganie atakom
    • Prawa dostępu
      • Czym jest identyfikator SID?
      • Listy kontroli dostępu
      • Listy ACL dla jednostek OU
      • GPO ACL
      • Listy ACL dla domeny
      • Relacje zaufania domen
    • Kradzież danych uwierzytelniających
      • Protokoły uwierzytelniania
      • Atakowanie uwierzytelniania AD - kradzież danych uwierzytelniających i ruchy boczne
    • Zapobieganie
    • Konfiguracje bazowe i zestaw narzędzi Microsoft Security Compliance Toolkit
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 7. Hakowanie w chmurze - wykorzystywanie luk i podatności w Azure Active Directory (Entra ID)
    • Wymagania techniczne
    • Różnice między AD a AAD
    • Uwierzytelnianie w AAD
      • Tożsamość urządzenia - łączenie urządzeń z AAD
      • Tożsamości hybrydowe
      • Protokoły i koncepcje
    • Uprzywilejowane konta i role
    • Dostęp do AAD z poziomu PowerShella
      • Azure CLI
      • Azure PowerShell
    • Ataki na Azure AD
      • Anonimowe wyliczanie kont i zasobów AAD
      • Ataki typu password spraying
      • Uwierzytelnione wyliczanie kont i zasobów AAD
    • Kradzież danych uwierzytelniających
      • Kradzież tokenów
      • Atak typu wyrażenie zgody - trwały dostęp dzięki uprawnieniom aplikacji
      • Nadużywanie jednokrotnego logowania (SSO) w Azure AD
      • Ataki na uwierzytelnianie typu pass-through (PTA)
    • Środki zaradcze
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 8. Zadania i poradnik operacyjny dla zespołów Red Team
    • Wymagania techniczne
    • Fazy ataków
    • Narzędzia PowerShell dla zespołów Red Team
      • PowerSploit
      • Invoke-Mimikatz
      • Empire
      • Inveigh
      • PowerUpSQL
      • AADInternals
    • Red Team Cookbook - poradnik operacyjny
      • Rekonesans
      • Wykonanie
      • Trwałość
      • Unikanie wykrycia
      • Dostęp do danych uwierzytelniających
      • Odkrywanie
      • Ruch boczny
      • Command and Control (C2)
      • Eksfiltracja
      • Uderzenie
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 9. Zadania i poradnik operacyjny dla zespołów Blue Team
    • Wymagania techniczne
    • Ochrona, wykrywanie i reagowanie
      • Ochrona
      • Wykrywanie
      • Reagowanie
    • Popularne narzędzia PowerShell dla zespołów Blue Team
      • PSGumshoe
      • PowerShellArsenal
      • AtomicTestHarnesses
      • PowerForensics
      • NtObjectManager
      • DSInternals
      • PSScriptAnalyzer i InjectionHunter
      • Revoke-Obfuscation
      • Posh-VirusTotal
      • EventList
      • JEAnalyzer
    • Blue Team Cookbook - poradnik operacyjny
      • Sprawdzanie zainstalowanych aktualizacji
      • Sprawdzanie brakujących aktualizacji
      • Przeglądanie historii poleceń PowerShell wszystkich użytkowników
      • Sprawdzanie dziennika zdarzeń zdalnego hosta
      • Monitorowanie wykonywania poleceń PowerShell z pominięciem powershell.exe
      • Przeglądanie wybranych reguł zapory sieciowej
      • Ograniczenie komunikacji PowerShell do prywatnych zakresów adresów IP
      • Izolowanie zagrożonego systemu
      • Zdalne sprawdzanie zainstalowanego oprogramowania
      • Uruchamianie transkrypcji PowerShell
      • Sprawdzanie ważności certyfikatów
      • Weryfikacja podpisu cyfrowego pliku lub skryptu
      • Sprawdzanie praw dostępu do plików i folderów
      • Wyświetlanie listy wszystkich uruchomionych usług
      • Zatrzymywanie usług
      • Wyświetlanie wszystkich procesów
      • Zatrzymywanie procesów
      • Wyłączanie konta lokalnego
      • Włączanie konta lokalnego
      • Wyłączanie konta domenowego
      • Włączanie konta domenowego
      • Wyświetlanie wszystkich ostatnio utworzonych kont domenowych
      • Sprawdzanie, czy wybrany port jest otwarty
      • Wyświetlanie połączeń TCP i ich procesów inicjujących
      • Wyświetlanie połączeń UDP i ich procesów inicjujących
      • Wykrywanie ataków typu downgrade przy użyciu dziennika zdarzeń systemu Windows
      • Zapobieganie atakom typu downgrade
    • Podsumowanie
    • Gdzie warto zajrzeć?

CZĘŚĆ 3. Zabezpieczanie PowerShella - skuteczne metody ochrony

  • Rozdział 10. Tryby językowe sesji PowerShell i technologia JEA
    • Wymagania techniczne
    • Czym są tryby językowe w PowerShellu?
      • Tryb Full Language
      • Tryb Restricted Language
      • Tryb No Language
      • Tryb Constrained Language
    • Czym jest JEA?
      • Wprowadzenie do JEA
      • Planowanie wdrożenia JEA
      • Plik definicji roli
      • Plik konfiguracji sesji
      • Wdrażanie JEA
      • Nawiązywanie połączenia z sesją JEA
    • Upraszczanie wdrożenia JEA przy użyciu modułu JEAnalyzer
      • Konwersja skryptów na konfigurację JEA
      • Wykorzystanie audytu do utworzenia początkowej konfiguracji JEA
    • Rejestrowanie zdarzeń w sesjach JEA
      • Transkrypcja na żywo
      • Dzienniki zdarzeń PowerShell
      • Inne dzienniki zdarzeń
    • Najlepsze praktyki - minimalizowanie zagrożeń i podatności
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 11. AppLocker, kontrolowanie aplikacji i podpisywanie kodu
    • Wymagania techniczne
    • Zapobieganie nieautoryzowanemu wykonywaniu skryptów za pomocą podpisywania kodu
    • Kontrolowanie aplikacji i skryptów
      • Planowanie kontroli aplikacji
      • Wbudowane rozwiązania do kontroli aplikacji
    • Pierwsze kroki z Microsoft AppLocker
      • Wdrażanie funkcji AppLocker
      • Audyt zdarzeń AppLocker
    • Odkrywamy technologię Windows Defender Application Control
      • Tworzenie zasad integralności kodu
      • Bezpieczeństwo oparte na wirtualizacji (VBS)
      • Wdrażanie WDAC
    • Jak zmienia się działanie PowerShella, gdy włączona jest kontrola aplikacji?
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 12. Tajniki interfejsu AMSI
    • Wymagania techniczne
    • Czym jest AMSI i jak to działa?
    • Dlaczego AMSI? Praktyczny przykład
      • Przykład 1.
      • Przykład 2.
      • Przykład 3.
      • Przykład 4.
      • Przykład 5.
      • Przykład 6.
    • Omijanie mechanizmu AMSI
      • Zapobieganie wykrywaniu plików lub tymczasowe wyłączenie AMSI
      • Zaciemnianie kodu
      • Kodowanie Base64
    • Podsumowanie
    • Gdzie warto zajrzeć?
  • Rozdział 13. Co jeszcze warto wiedzieć? Dodatkowe metody ochrony i inne przydatne zasoby
    • Wymagania techniczne
    • Bezpieczne skrypty
      • PSScriptAnalyzer
      • InjectionHunter
    • Poznajemy konfigurację żądanego stanu
      • DSC 1.1
      • DSC 2.0
      • DSC 3.0
      • Konfiguracja
    • Utwardzanie systemów i środowisk
      • Bazowe konfiguracje zabezpieczeń
      • Instalacja aktualizacji zabezpieczeń i monitorowanie zgodności poprawek
      • Zapobieganie ruchowi bocznemu
      • Uwierzytelnianie wieloskładnikowe przy podnoszeniu uprawnień
      • Czasowo ograniczone uprawnienia (administracja na żądanie)
    • Wykrywanie ataków - identyfikacja i reakcja na zagrożenia w punktach końcowych
      • Aktywacja darmowych funkcji ochrony punktów końcowych Microsoft Defender
    • Podsumowanie
    • Gdzie warto zajrzeć?

Skorowidz

  • Title: PowerShell w cyberbezpieczeństwie. Automatyzacja zadań, tworzenie skryptów, hakowanie i obrona. Red Team kontra Blue Team
  • Author: Miriam C. Wiesner, Tanya Janca
  • Original title: PowerShell Automation and Scripting for Cybersecurity: Hacking and defense for red and blue teamers
  • Translation: Grzegorz Kowalczyk
  • ISBN: 978-83-289-2226-6, 9788328922266
  • Date of issue: 2025-06-24
  • Format: Ebook
  • Item ID: powcyb
  • Publisher: Helion