PsExec

Conteúdo

Compartilhe este glossário:

PsExec é uma ferramenta de linha de comando que permite aos usuários executar programas em sistemas remotos. Ele pode ser usado para executar comandos, scripts e aplicativos remotos em sistemas remotos, bem como para iniciar aplicativos baseados em GUI em sistemas remotos.

PsExec usa o Microsoft Windows Service Control Manager (SCM) para iniciar uma instância do serviço no sistema remoto, o que permite que a ferramenta execute o comando ou aplicativo especificado com os privilégios da conta do conta de serviço no sistema remoto.

Para estabelecer a conexão, o usuário remoto deverá ter privilégios de acesso à máquina alvo e fornecer o nome da máquina alvo, bem como seu nome de usuário e senha no seguinte formato:

PsExec -s \\MACHINE-NAME -u USERNAME -p PASSWORD COMMAND (the process to be executed following establishing the connection).

Para que é usado o PsExec?

PsExec é uma poderosa ferramenta de linha de comando usada principalmente para administração remota e execução de processos em sistemas Windows. Ele permite que administradores de sistema e profissionais de segurança executem comandos ou programas em computadores remotos em um ambiente de rede. Aqui estão alguns casos de uso comuns para PsExec:

Administração Remota do Sistema: O PsExec permite que os administradores gerenciem e administrem remotamente vários sistemas Windows sem a necessidade de acesso físico. Ele permite que eles executem comandos, executem scripts, instalem software, modifiquem configurações do sistema e executem diversas tarefas administrativas em máquinas remotas a partir de um local central.

Implantação e atualizações de software: Com o PsExec, os administradores podem implantar remotamente pacotes de software, patches ou atualizações em vários computadores simultaneamente. Este recurso é particularmente útil em ambientes de grande escala onde a instalação manual em sistemas individuais seria demorada e impraticável.

Solução de problemas e diagnóstico: O PsExec pode ser usado para diagnosticar e solucionar problemas do sistema remotamente. Os administradores podem executar ferramentas de diagnóstico, acessar logs de eventos, recuperar informações do sistema ou executar scripts de solução de problemas em sistemas remotos para identificar e resolver problemas sem estarem fisicamente presentes.

Auditoria de segurança e gerenciamento de patches: Os profissionais de segurança costumam empregar o PsExec para realizar auditorias de segurança, avaliações de vulnerabilidades ou exercícios de testes de penetração. Ele permite que eles executem remotamente ferramentas de verificação de segurança, verifiquem os níveis de patch e avaliem a postura de segurança de sistemas remotos na rede.

Resposta a Incidentes e Forense: Durante as investigações de resposta a incidentes, o PsExec auxilia no acesso remoto a sistemas comprometidos para análise e coleta de evidências. Ele permite que analistas de segurança executem comandos ou ferramentas forenses em máquinas comprometidas sem interagir diretamente com elas, minimizando o risco de comprometimento adicional ou perda de dados.

Equipe Vermelha e Movimento lateral: em exercícios de red teaming, onde as organizações simulam ataques do mundo real para testar suas defesas de segurança, o PsExec é frequentemente usado para movimentos laterais dentro da rede. Os invasores podem usar o PsExec para executar comandos ou cargas maliciosas em sistemas comprometidos, movendo-se lateralmente e aumentando privilégios para obter acesso não autorizado a recursos confidenciais.

Automação e script: O PsExec pode ser integrado a scripts ou arquivos em lote, permitindo a automação de tarefas repetitivas em vários sistemas. Ele fornece um meio de executar scripts remotamente, permitindo que os administradores orquestrem operações complexas ou executem tarefas regulares de manutenção com eficiência.

No entanto, é importante notar que o PsExec também pode ser uma ferramenta poderosa nas mãos dos atacantes, uma vez que lhes permite executar código arbitrário em sistemas remotos, potencialmente levando a escalação de privilégios e movimento lateral na rede. Portanto, é importante usar o PsExec com segurança e limitar o uso do PsExec a usuários e sistemas confiáveis.

Como instalar e configurar o PsExec

Instalar e configurar o PsExec é um processo simples que envolve as seguintes etapas:

Baixando PsExec

Para instalar o PsExec, você pode visitar o site oficial da Microsoft ou repositórios de software confiáveis ​​para baixar o arquivo executável do PsExec. Certifique-se de baixá-lo de uma fonte confiável para evitar riscos de segurança ou malware.

Instalando PsExec

PsExec não requer um processo formal de instalação. Depois de baixar o arquivo executável PsExec, você pode salvá-lo em um diretório de sua escolha em seu sistema local. Recomenda-se colocá-lo em um local de fácil acesso e incluído na variável de ambiente PATH do sistema para uso conveniente.

Executando o PsExec e conectando-se a um computador remoto

Para conectar-se a um computador remoto usando PsExec, siga estas etapas:

a. Abra um prompt de comando ou terminal em seu sistema local.

b. Navegue até o diretório onde você salvou o arquivo executável PsExec.

c. Para estabelecer uma conexão com um computador remoto, use o seguinte comando:

psexec \\remote_computer_name_or_IP -u nome de usuário -p comando de senha

  • Substitua “remote_computer_name_or_IP” pelo nome ou endereço IP do computador remoto ao qual deseja se conectar.
  • Substitua “nome de usuário” e “senha” pelas credenciais de uma conta no computador remoto que possua as permissões necessárias para as operações desejadas.
  • Especifique o comando que deseja executar no computador remoto.

d. Pressione Enter para executar o comando. PsExec estabelecerá uma conexão com o computador remoto, autenticará usando as credenciais fornecidas e executará o comando especificado remotamente.

e. Você verá a saída do comando executado no prompt de comando local ou na janela do terminal.

É importante observar que o sucesso da conexão e execução de comandos usando PsExec depende da conectividade de rede entre o sistema local e o computador remoto, bem como das credenciais e permissões de autenticação corretas no sistema remoto.

Quais são os comandos PsExec mais comuns?

PsExec oferece vários comandos comumente usados ​​que fornecem aos administradores poderosos recursos de execução remota. Aqui estão alguns dos comandos PsExec mais comuns e suas funções:

Comando PsExec \remote_computer:

  • Executa o comando especificado no computador remoto.
  • Permite que os administradores executem comandos ou iniciem programas remotamente.

Comando PsExec \remote_computer -s:

  • Executa o comando especificado com privilégios de nível de sistema no computador remoto.
  • Útil para executar comandos que requerem privilégios elevados ou acessar recursos do sistema.

Comando PsExec \remote_computer -u nome de usuário -p senha:

  • Executa o comando especificado no computador remoto usando o nome de usuário e a senha fornecidos para autenticação.
  • Permite que administradores executem comandos com credenciais de usuário específicas em sistemas remotos.

Comando PsExec \remote_computer -c -f -s -d:

  • Copia o arquivo executável especificado para o computador remoto, executa-o com privilégios de nível de sistema, em segundo plano e sem aguardar sua conclusão.
  • Útil para implantar e executar programas em sistemas remotos sem interação do usuário.

Comando PsExec \remote_computer -i session_id -d -s:

  • Executa o comando especificado em uma sessão interativa com privilégios de nível de sistema no computador remoto.
  • Útil para executar comandos que requerem interação ou acessar a interface gráfica do usuário do sistema remoto.

PsExec \remote_computer -accepteula -s -c -f script.bat:

  • Copia o arquivo de script especificado para o computador remoto, executa-o com privilégios de nível de sistema e aguarda sua conclusão.
  • Permite que os administradores executem scripts remotamente para automação ou tarefas administrativas.

Esses comandos representam um subconjunto dos comandos PsExec disponíveis, cada um servindo a um propósito específico na administração e execução remota.

A sintaxe dos comandos PsExec é:

psexec \computer[,computer[,..] [opções] comando [argumentos]

  psexec @run_file [options] command [arguments]

Opções de linha de comando PsExec:

OpçãoExplicação
\computadorO computador remoto ao qual se conectar. Use \* para todos os computadores no domínio.
@run_fileExecute o comando nos computadores listados no arquivo de texto especificado.
comandoPrograma a ser executado no sistema remoto.
argumentosArgumentos a serem passados ​​para o programa remoto. Use caminhos absolutos.
-aDefina a afinidade da CPU. Números de CPU separados por vírgula começando em 1.
-cCopie o programa local para o sistema remoto antes de executar.
-fForçar a cópia do arquivo remoto existente.
-vCopie apenas se o programa local for uma versão mais recente que a remota.
-dNão espere que o programa remoto termine.
-eNão carregue o perfil do usuário.
-iInteraja com a área de trabalho remota.
-lExecute com direitos de usuário limitados (grupo Usuários).
-nTempo limite de conexão em segundos.
-pEspecifique a senha do usuário.
-rNome do serviço remoto com o qual interagir.
-sExecute na conta SYSTEM.
-uEspecifique o nome de usuário para login.
-wDefina o diretório de trabalho no sistema remoto.
-xExibir UI na área de trabalho do Winlogon.
-baixoExecute com baixa prioridade.
-aceiteulaSuprimir a caixa de diálogo EULA.

PsExec é um PowerShell?

PsExec não é um PowerShell. É uma ferramenta de linha de comando que permite aos usuários executar programas em sistemas remotos.

O PowerShell, por outro lado, é uma estrutura de automação de tarefas e gerenciamento de configuração desenvolvida pela Microsoft, que inclui um shell de linha de comando e uma linguagem de script associada construída na estrutura .NET. O PowerShell pode ser usado para automatizar diversas tarefas e realizar operações complexas em sistemas locais ou remotos.

Embora tanto o PsExec quanto o PowerShell possam ser usados ​​para executar tarefas semelhantes, como executar comandos em sistemas remotos, eles são ferramentas diferentes e têm capacidades diferentes. O PsExec foi projetado para executar um único comando ou aplicativo em um sistema remoto, enquanto o PowerShell é uma estrutura mais poderosa que pode ser usada para automatizar e gerenciar várias tarefas, incluindo a execução de comandos e scripts em sistemas remotos.

Portanto, dependendo do cenário, uma ferramenta pode ser mais adequada que a outra.

Como funciona o PsExec

PsExec funciona aproveitando sua arquitetura exclusiva e protocolos de comunicação para permitir a execução remota em sistemas Windows. Vamos explorar os principais aspectos de como o PsExec opera:

Arquitetura e Comunicação

PsExec segue uma arquitetura cliente-servidor. O componente do lado cliente, executado no sistema local, estabelece uma conexão com o componente do lado servidor executado no sistema remoto. Esta conexão permite a transmissão de comandos e dados entre os dois sistemas.

PsExec usa o protocolo Server Message Block (SMB), especificamente o compartilhamento de arquivos SMB e mecanismos de pipe nomeados, para estabelecer canais de comunicação com sistemas remotos. Isso permite uma comunicação segura e confiável entre os componentes do cliente e do servidor.

Autenticação e segurança

PsExec emprega mecanismos de autenticação para garantir acesso seguro a sistemas remotos. Ele suporta vários métodos de autenticação, incluindo o uso de nome de usuário e senha, ou autenticação via NTLM (NT LAN Manager) ou Kerberos.

Para aumentar a segurança, é crucial seguir as melhores práticas de autenticação ao usar o PsExec. Essas práticas incluem a utilização de senhas fortes e exclusivas, a implementação de Autenticação multifatorial sempre que possível, e aderindo ao princípio do menor privilégio, concedendo apenas as permissões necessárias aos usuários do PsExec.

Acesso a arquivos e registros

PsExec facilita o acesso a arquivos e registros em sistemas remotos, permitindo que os administradores executem tarefas como copiar arquivos, executar scripts ou modificar configurações de registro. Ao executar comandos remotamente, o PsExec copia temporariamente o executável ou script necessário para o diretório temporário do sistema remoto antes da execução.

É importante considerar possíveis considerações de segurança ao usar o PsExec para operações de arquivo e registro. Por exemplo, os administradores devem ter cautela ao transferir arquivos confidenciais e garantir que controles de acesso apropriados estejam em vigor para evitar acesso não autorizado ou modificação de arquivos críticos do sistema e entradas de registro.

O PsExec é malware?

O PsExec não é um malware em si, mas pode ser usado por malware e invasores para realizar ações maliciosas.

PsExec é uma ferramenta legítima que permite aos usuários executar programas em sistemas remotos. Ele pode ser usado para uma variedade de tarefas legítimas, como solução de problemas, implantação de atualizações e patches de software e execução de comandos e scripts em vários sistemas simultaneamente.

No entanto, o PsExec também pode ser usado por invasores para obter acesso não autorizado a sistemas remotos e realizar ações maliciosas. Por exemplo, um invasor pode usar o PsExec para executar uma carga maliciosa em um sistema remoto ou para se mover lateralmente dentro de uma rede e obter acesso a informações confidenciais.

Portanto, é importante usar o PsExec com segurança e limitar o uso do PsExec a usuários e sistemas confiáveis.

Como o PsExec é usado em ataques cibernéticos?

O acesso remoto contínuo que o PsExec permite de uma máquina de origem para uma máquina de destino é intensamente utilizado por agentes de ameaças durante o estágio de movimento lateral em ataques cibernéticos. Isso normalmente ocorreria após o comprometimento inicial de uma máquina com paciente zero. 

Desse ponto em diante, os invasores procuram expandir sua presença no ambiente e alcançar o domínio do domínio ou os dados específicos que procuram. O PsExec fornece a eles uma maneira contínua e confiável de conseguir isso pelos seguintes motivos.

Como os adversários podem usar o PsExec junto com credenciais comprometidas?

Combinando usuário comprometido credenciais com PsExec, os adversários podem ignorar mecanismos de autenticação, obter acesso a vários sistemas e potencialmente comprometer uma parte significativa da rede. Essa abordagem permite que eles se movam lateralmente, aumentem os privilégios e realizem seus objetivos maliciosos com um impacto mais amplo.

O que torna o PsExec uma ferramenta preferida para ataques de movimento lateral?

O PsExec é frequentemente considerado uma ferramenta preferida para “viver da terra” para ataques de movimento lateral devido a vários fatores principais:

  1. Uso legítimo: PsExec é uma ferramenta legítima da Microsoft Sysinternals desenvolvida por Mark Russinovich. Ele foi projetado para executar processos remotamente em sistemas Windows, tornando-o uma ferramenta confiável e comumente usada em muitos ambientes de TI. A sua utilização legítima torna menos provável que seja sinalizado por sistemas de monitorização de segurança.
  1. Integração nativa: PsExec aproveita o protocolo Server Message Block (SMB), que é comumente usado para compartilhamento de arquivos e impressoras em redes Windows. Como o SMB é um protocolo nativo em ambientes Windows, o uso do PsExec normalmente não levanta suspeitas imediatas nem aciona alertas de segurança.
  2. Capacidades de movimento lateral: PsExec permite que um invasor execute comandos ou inicie processos em sistemas remotos com credenciais válidas. Esta capacidade é particularmente valiosa para ataques de movimento lateral, onde um atacante pretende mover-se através de uma rede comprometendo múltiplos sistemas. Ao usar o PsExec, os invasores podem executar comandos ou implantar malware em sistemas remotos sem precisar de explorações ou ferramentas adicionais.
  3. Ignorando a segmentação da rede: o PsExec pode atravessar segmentos de rede, permitindo que os invasores se movam lateralmente entre partes isoladas de uma rede. Esta capacidade é crucial para atacantes que procuram explorar e comprometer sistemas que não são diretamente acessíveis a partir do seu ponto de entrada inicial.
  4. Evasão de controles de segurança: o PsExec pode ser usado para contornar controles de segurança, como regras de firewall ou segmentação de rede, aproveitando protocolos administrativos legítimos. Como o PsExec é frequentemente permitido em redes corporativas, ele pode não ser explicitamente bloqueado ou monitorado por soluções de segurança, o que o torna uma opção atraente para invasores.

É importante observar que, embora o PsExec tenha casos de uso legítimos, seu potencial para uso indevido e sua presença no ambiente alvo o tornam uma ferramenta atraente para adversários que buscam realizar ataques de movimento lateral. As organizações devem implementar fortes medidas de segurança, tais como segmentação de rede, gestão de credenciais e sistemas de monitorização, para detectar e prevenir o uso não autorizado de PsExec ou ferramentas semelhantes.

Quais são as vantagens de usar o PsExec em ataques de ransomware?

Usar o PsExec para movimento lateral oferece diversas vantagens para ransomware atores:

  1. Velocidade e eficiência: em vez de criptografar cada endpoint individualmente, o que pode ser demorado e aumentar o risco de detecção, o uso do PsExec permite que os invasores propaguem rapidamente o ransomware para vários sistemas simultaneamente. Isso lhes permite maximizar seu impacto e potencialmente criptografar um grande número de endpoints em um curto espaço de tempo.
  2. Ignorando os controles de segurança locais: criptografar cada endpoint individualmente aumenta a probabilidade de acionar alertas de segurança em sistemas individuais. Ao usar o PsExec, os invasores podem contornar os controles de segurança locais, uma vez que a execução ocorre no contexto de uma ferramenta administrativa legítima e confiável, diminuindo a probabilidade de levantar suspeitas.
  3. Cobertura de rede mais ampla: o movimento lateral com o PsExec permite que invasores alcancem e infectem sistemas que podem não estar diretamente acessíveis a partir do ponto de entrada inicial. Movendo-se lateralmente, eles podem navegar pelos segmentos da rede e comprometer sistemas adicionais que podem conter dados críticos ou fornecer-lhes mais controle sobre a rede.
  4. Evasão da proteção de endpoint: As soluções tradicionais de proteção de endpoint geralmente se concentram na detecção e no bloqueio de amostras individuais de malware. Ao usar o PsExec para espalhar ransomware, os invasores podem contornar essas proteções de endpoint, uma vez que a implantação do ransomware não é iniciada por um arquivo malicioso, mas sim por uma ferramenta legítima.

Por que as ferramentas de proteção de endpoint não conseguem detectar e impedir o uso malicioso do PsExec?

As ferramentas de proteção de endpoint podem ter dificuldade para detectar e prevenir o uso malicioso do PsExec por vários motivos:

  1. Ferramenta legítima: PsExec é uma ferramenta legítima desenvolvida pela Microsoft Sysinternals e é comumente usada para tarefas legítimas de administração de sistema. As soluções de proteção de endpoint geralmente se concentram na detecção de arquivos ou comportamentos maliciosos conhecidos, e o PsExec se enquadra na categoria de ferramentas confiáveis. Como resultado, a ferramenta em si pode não levantar suspeitas imediatas.
  2. Execução indireta: PsExec não executa diretamente cargas maliciosas ou malware. Em vez disso, é usado como um meio de executar comandos remotamente ou implantar arquivos em sistemas de destino. Como a execução de atividades maliciosas ocorre por meio de um processo legítimo (ou seja, PsExec), torna-se um desafio para as ferramentas de proteção de endpoint distinguir entre uso legítimo e mal-intencionado.
  3. Técnicas de criptografia e evasão: PsExec usa criptografia integrada para proteger as comunicações entre o invasor e o sistema alvo. Essa criptografia ajuda a ocultar o conteúdo da comunicação, tornando mais difícil para as ferramentas de proteção de endpoint inspecionarem a carga e identificarem comportamento malicioso. Além disso, os invasores podem empregar diversas técnicas de evasão para ofuscar ainda mais suas atividades, dificultando a identificação de ataques baseados em PsExec pelos métodos tradicionais de detecção baseados em assinaturas.
  4. Personalização de ataque: os invasores podem personalizar o uso do PsExec, como renomear a ferramenta ou modificar seus parâmetros, para evitar a detecção. Ao alterar as características do PsExec ou incorporá-lo em outros processos legítimos, os invasores podem ignorar assinaturas estáticas ou heurísticas comportamentais usadas por ferramentas de proteção de endpoint.
  5. Falta de conhecimento contextual: As ferramentas de proteção de endpoint normalmente operam no nível do endpoint e podem não ter visibilidade abrangente das atividades em toda a rede. Eles podem não estar cientes das tarefas administrativas ou fluxos de trabalho legítimos dentro de uma organização que envolvem o uso do PsExec. Consequentemente, podem não ter o contexto necessário para diferenciar entre utilização legítima e maliciosa.

Por que as soluções tradicionais de MFA não conseguem impedir o uso do PsExec em ataques de movimento lateral?

As ferramentas tradicionais de AMF podem enfrentar limitações na impedindo o movimento lateral usando PsExec pelos seguintes motivos:

  1. Falta de suporte MFA por Kerberos e NTLM: Kerberos e NTLM são protocolos de autenticação comumente usados ​​em ambientes Windows. No entanto, eles não suportam inerentemente MFA. Esses protocolos dependem de um mecanismo de autenticação de fator único, normalmente baseado em senhas. Como o PsExec usa os protocolos de autenticação subjacentes do sistema operacional, a falta de suporte MFA integrado torna difícil para as ferramentas MFA tradicionais imporem fatores de autenticação adicionais durante o movimento lateral usando o PsExec.
  2. Dependência de agentes propensos a deixar máquinas desprotegidas: muitas Soluções de AMF conte com agentes de software instalados em endpoints para facilitar o processo de autenticação. Porém, no caso de ataques de movimento lateral, os invasores podem comprometer e obter o controle de sistemas que não possuem o agente MFA instalado ou em execução. Essas máquinas desprotegidas podem então ser usadas como plataformas de lançamento para movimentos laterais baseados em PsExec, ignorando os controles do MFA.
  3. Confiança em sessões validadas: depois que um usuário tiver autenticado e estabelecido uma sessão em um sistema, as atividades subsequentes realizadas nessa sessão, incluindo comandos PsExec, podem não acionar desafios de reautenticação ou MFA. Isto ocorre porque a sessão estabelecida é considerada validada e a MFA normalmente não é reavaliada durante a sessão. Os invasores podem aproveitar essa confiança para explorar sessões legítimas e executar comandos PsExec sem encontrar desafios adicionais de MFA.

PsExec pode ser perigoso: como o PsExec está sendo usado em ataques de ransomware

PsExec ganhou popularidade entre administradores de sistema e profissionais de segurança por seus recursos de gerenciamento remoto legítimos e eficientes. No entanto, como muitas ferramentas, o PsExec também pode ser utilizado indevidamente para fins maliciosos. Nos últimos anos, os agentes de ameaças começaram a incorporar o PsExec nas suas estratégias de ataque de ransomware, tornando-o um componente potencialmente perigoso do seu arsenal.

Nos últimos cinco anos, a barreira de competências caiu significativamente e o movimento lateral com PsExec é incorporado em mais de 80% dos ataques de ransomware, tornando a proteção contra autenticação maliciosa através do PsExec uma necessidade para todas as organizações.

Ransomware e PsExec

Os ataques de ransomware envolvem atores mal-intencionados que obtêm acesso não autorizado aos sistemas, criptografam dados críticos e exigem um resgate pela sua liberação. Anteriormente, os invasores frequentemente dependiam de técnicas de engenharia social ou kits de exploração para obter acesso inicial. No entanto, eles agora expandiram suas táticas utilizando ferramentas legítimas como o PsExec para se propagar em redes comprometidas.

Propagação via PsExec

Num ataque de ransomware, uma vez que os agentes da ameaça obtêm acesso a um único sistema dentro de uma rede, pretendem mover-se lateralmente e infectar o maior número possível de sistemas. PsExec fornece um meio conveniente e eficiente para esse movimento lateral. Os invasores usam o PsExec para executar remotamente cargas de ransomware em outros sistemas vulneráveis, espalhando a infecção rapidamente pela rede.

Vantagens para invasores

Ao incorporar o PsExec em sua cadeia de ataque, os cibercriminosos ganham diversas vantagens. Primeiro, o PsExec permite que eles executem comandos e cargas maliciosas de forma silenciosa e remota, reduzindo as chances de detecção. Em segundo lugar, como o PsExec é uma ferramenta legítima, muitas vezes ignora as medidas de segurança tradicionais que se concentram em assinaturas de malware conhecidas. Isso permite que os invasores se misturem ao tráfego normal da rede, dificultando a detecção de suas atividades.

Mitigando o risco

A defesa contra ataques de ransomware baseados em PsExec requer uma abordagem em várias camadas. Aqui estão algumas mitigações importantes:

Controle de acesso: Implemente controles de acesso rígidos, garantindo que apenas usuários autorizados tenham acesso administrativo a sistemas críticos. Limitar o número de contas com privilégios PsExec pode ajudar a reduzir o superfície de ataque.

Proteção de endpoint: Implante e mantenha soluções robustas de proteção de endpoint que incluam mecanismos de detecção baseados em comportamento. Isso pode ajudar a identificar e bloquear atividades suspeitas associadas ao uso do PsExec.

Segmentação de Rede: Empregue segmentação de rede para limitar oportunidades de movimento lateral para invasores. Separar sistemas críticos e restringir o acesso entre segmentos de rede pode ajudar a conter o impacto de uma possível infecção por ransomware.
Monitoramento e detecção de anomalias: Implemente sistemas abrangentes de monitoramento de rede e detecção de anomalias que possam sinalizar o uso incomum ou não autorizado do PsExec. Investigar e responder prontamente a esses alertas pode ajudar a mitigar possíveis danos.