PsExec เป็นเครื่องมือบรรทัดคำสั่งที่ช่วยให้ผู้ใช้สามารถรันโปรแกรมบนระบบระยะไกลได้ สามารถใช้เพื่อดำเนินการคำสั่งระยะไกล สคริปต์ และแอปพลิเคชันบนระบบระยะไกล เช่นเดียวกับการเปิดใช้งานแอปพลิเคชันที่ใช้ GUI บนระบบระยะไกล
PsExec ใช้ Microsoft Windows Service Control Manager (SCM) เพื่อเริ่มอินสแตนซ์ของบริการบนระบบระยะไกล ซึ่งอนุญาตให้เครื่องมือเรียกใช้คำสั่งหรือแอปพลิเคชันที่ระบุด้วยสิทธิ์ของบัญชีของ บัญชีบริการ บนระบบระยะไกล
เพื่อสร้างการเชื่อมต่อ ผู้ใช้ระยะไกลควรมีสิทธิ์เข้าถึงเครื่องเป้าหมายและระบุชื่อเครื่องเป้าหมาย รวมถึงชื่อผู้ใช้และรหัสผ่านในรูปแบบต่อไปนี้:
PsExec -s \\MACHINE-NAME -u USERNAME -p PASSWORD COMMAND (the process to be executed following establishing the connection).
PsExec เป็นเครื่องมือบรรทัดคำสั่งที่มีประสิทธิภาพซึ่งใช้สำหรับการดูแลระบบระยะไกลและการดำเนินการกระบวนการบนระบบ Windows เป็นหลัก ช่วยให้ผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัยสามารถรันคำสั่งหรือรันโปรแกรมบนคอมพิวเตอร์ระยะไกลในสภาพแวดล้อมแบบเครือข่ายได้ ต่อไปนี้เป็นกรณีการใช้งานทั่วไปสำหรับ PsExec:
การดูแลระบบระยะไกล: PsExec ช่วยให้ผู้ดูแลระบบสามารถจัดการและจัดการระบบ Windows หลายระบบจากระยะไกลโดยไม่จำเป็นต้องเข้าถึงทางกายภาพ ช่วยให้พวกเขาสามารถรันคำสั่ง รันสคริปต์ ติดตั้งซอฟต์แวร์ แก้ไขการกำหนดค่าระบบ และดำเนินงานด้านการดูแลระบบต่างๆ บนเครื่องระยะไกลจากตำแหน่งศูนย์กลาง
การปรับใช้ซอฟต์แวร์และการอัพเดต: ด้วย PsExec ผู้ดูแลระบบสามารถติดตั้งแพ็คเกจซอฟต์แวร์ แพตช์ หรืออัพเดตจากระยะไกลบนคอมพิวเตอร์หลายเครื่องพร้อมกันได้ คุณลักษณะนี้มีประโยชน์อย่างยิ่งในสภาพแวดล้อมขนาดใหญ่ ซึ่งการติดตั้งด้วยตนเองในแต่ละระบบอาจใช้เวลานานและไม่สามารถทำได้
การแก้ไขปัญหาและการวินิจฉัย: สามารถใช้ PsExec เพื่อวินิจฉัยและแก้ไขปัญหาระบบจากระยะไกลได้ ผู้ดูแลระบบสามารถเรียกใช้เครื่องมือวินิจฉัย เข้าถึงบันทึกเหตุการณ์ ดึงข้อมูลระบบ หรือเรียกใช้สคริปต์การแก้ไขปัญหาบนระบบระยะไกลเพื่อระบุและแก้ไขปัญหาโดยไม่ต้องอยู่จริง
การตรวจสอบความปลอดภัยและการจัดการแพตช์: ผู้เชี่ยวชาญด้านความปลอดภัยมักจะจ้าง PsExec เพื่อดำเนินการตรวจสอบความปลอดภัย การประเมินช่องโหว่ หรือการทดสอบการเจาะระบบ ช่วยให้พวกเขาสามารถรันเครื่องมือสแกนความปลอดภัยจากระยะไกล ตรวจสอบระดับแพตช์ และประเมินระดับความปลอดภัยของระบบระยะไกลภายในเครือข่าย
การตอบสนองต่อเหตุการณ์และนิติเวช: ในระหว่างการสืบสวนการตอบสนองต่อเหตุการณ์ PsExec ช่วยเหลือในการเข้าถึงระบบที่ถูกบุกรุกจากระยะไกลเพื่อการวิเคราะห์และการรวบรวมหลักฐาน ช่วยให้นักวิเคราะห์ความปลอดภัยดำเนินการคำสั่งหรือเรียกใช้เครื่องมือทางนิติวิทยาศาสตร์บนเครื่องที่ถูกบุกรุกโดยไม่ต้องโต้ตอบกับเครื่องเหล่านั้นโดยตรง ซึ่งช่วยลดความเสี่ยงของการประนีประนอมหรือการสูญเสียข้อมูลเพิ่มเติม
ทีมแดงและ การเคลื่อนไหวด้านข้าง: ในแบบฝึกหัดการรวมทีมสีแดง ซึ่งองค์กรต่างๆ จำลองการโจมตีในโลกแห่งความเป็นจริงเพื่อทดสอบการป้องกันความปลอดภัยของตน PsExec มักจะใช้สำหรับการเคลื่อนไหวด้านข้างภายในเครือข่าย ผู้โจมตีสามารถใช้ PsExec เพื่อดำเนินการคำสั่งหรือเรียกใช้เพย์โหลดที่เป็นอันตรายบนระบบที่ถูกบุกรุก ย้ายด้านข้างและเพิ่มสิทธิพิเศษเพื่อเข้าถึงทรัพยากรที่มีความละเอียดอ่อนโดยไม่ได้รับอนุญาต
ระบบอัตโนมัติและการเขียนสคริปต์: PsExec สามารถรวมเข้ากับสคริปต์หรือแบตช์ไฟล์ได้ ทำให้สามารถทำงานซ้ำๆ ในระบบต่างๆ ได้โดยอัตโนมัติ โดยให้วิธีการในการรันสคริปต์จากระยะไกล ช่วยให้ผู้ดูแลระบบสามารถจัดการการดำเนินงานที่ซับซ้อนหรือดำเนินงานบำรุงรักษาตามปกติได้อย่างมีประสิทธิภาพ
อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือ PsExec สามารถเป็นเครื่องมือที่ทรงพลังในมือของผู้โจมตีได้เช่นกัน เนื่องจากช่วยให้พวกเขาสามารถรันโค้ดบนระบบระยะไกลได้ตามอำเภอใจ ซึ่งอาจนำไปสู่ การเพิ่มระดับสิทธิ์ และการเคลื่อนไหวด้านข้างในเครือข่าย ดังนั้น การใช้ PsExec อย่างปลอดภัยจึงเป็นสิ่งสำคัญ และจำกัดการใช้ PsExec สำหรับผู้ใช้และระบบที่เชื่อถือได้
การติดตั้งและตั้งค่า PsExec เป็นกระบวนการที่ไม่ซับซ้อนซึ่งมีขั้นตอนต่อไปนี้:
หากต้องการติดตั้ง PsExec คุณสามารถเยี่ยมชมเว็บไซต์ทางการของ Microsoft หรือแหล่งเก็บข้อมูลซอฟต์แวร์ที่เชื่อถือได้เพื่อดาวน์โหลดไฟล์ปฏิบัติการ PsExec ตรวจสอบให้แน่ใจว่าคุณดาวน์โหลดจากแหล่งที่เชื่อถือได้เพื่อหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยหรือมัลแวร์
PsExec ไม่ต้องการกระบวนการติดตั้งอย่างเป็นทางการ เมื่อคุณดาวน์โหลดไฟล์ปฏิบัติการ PsExec แล้ว คุณสามารถบันทึกลงในไดเร็กทอรีที่คุณเลือกบนระบบภายในเครื่องของคุณได้ แนะนำให้วางไว้ในตำแหน่งที่เข้าถึงได้ง่ายและรวมอยู่ในตัวแปรสภาพแวดล้อม PATH ของระบบเพื่อความสะดวกในการใช้งาน
หากต้องการเชื่อมต่อกับคอมพิวเตอร์ระยะไกลโดยใช้ PsExec ให้ทำตามขั้นตอนเหล่านี้:
ก. เปิดพรอมต์คำสั่งหรือเทอร์มินัลบนระบบภายในของคุณ
ข. นำทางไปยังไดเร็กทอรีที่คุณบันทึกไฟล์ปฏิบัติการ PsExec
ค. หากต้องการเชื่อมต่อกับคอมพิวเตอร์ระยะไกล ให้ใช้คำสั่งต่อไปนี้:
psexec \\remote_computer_name_or_IP -u ชื่อผู้ใช้ -p คำสั่งรหัสผ่าน
ง. กด Enter เพื่อดำเนินการคำสั่ง PsExec จะสร้างการเชื่อมต่อกับคอมพิวเตอร์ระยะไกล ตรวจสอบความถูกต้องโดยใช้ข้อมูลประจำตัวที่ให้มา และดำเนินการคำสั่งที่ระบุจากระยะไกล
จ. คุณจะเห็นผลลัพธ์ของคำสั่งที่ดำเนินการในพรอมต์คำสั่งในเครื่องหรือหน้าต่างเทอร์มินัล
สิ่งสำคัญที่ควรทราบก็คือ การเชื่อมต่อและการดำเนินการคำสั่งโดยใช้ PsExec ได้สำเร็จนั้นขึ้นอยู่กับการเชื่อมต่อเครือข่ายระหว่างระบบภายในเครื่องของคุณกับคอมพิวเตอร์ระยะไกล รวมถึงข้อมูลรับรองการตรวจสอบความถูกต้องและการอนุญาตที่ถูกต้องบนระบบระยะไกล
PsExec มีคำสั่งที่ใช้กันทั่วไปหลายคำสั่งที่ช่วยให้ผู้ดูแลระบบมีความสามารถในการดำเนินการจากระยะไกลอันทรงพลัง ต่อไปนี้เป็นคำสั่ง PsExec ที่พบบ่อยที่สุดและฟังก์ชัน:
คำสั่ง PsExec \remote_computer:
คำสั่ง PsExec \remote_computer -s:
คำสั่ง PsExec \remote_computer -u ชื่อผู้ใช้ -p รหัสผ่าน:
คำสั่ง PsExec \remote_computer -c -f -s -d:
คำสั่ง PsExec \remote_computer -i session_id -d -s:
PsExec \remote_computer -accepteula -s -c -f script.bat:
คำสั่งเหล่านี้แสดงถึงชุดย่อยของคำสั่ง PsExec ที่มีอยู่ โดยแต่ละคำสั่งมีจุดประสงค์เฉพาะในการดูแลระบบและการดำเนินการจากระยะไกล
ไวยากรณ์สำหรับคำสั่ง PsExec คือ:
psexec \computer[,คอมพิวเตอร์[,..] [ตัวเลือก] คำสั่ง [อาร์กิวเมนต์]
psexec @run_file [options] command [arguments]
ตัวเลือกบรรทัดคำสั่ง PsExec:
ตัวเลือกเสริม (Option) | คำอธิบาย |
---|---|
\คอมพิวเตอร์ | คอมพิวเตอร์ระยะไกลที่จะเชื่อมต่อ ใช้ \* สำหรับคอมพิวเตอร์ทุกเครื่องในโดเมน |
@run_file | เรียกใช้คำสั่งกับคอมพิวเตอร์ที่แสดงอยู่ในไฟล์ข้อความที่ระบุ |
คำสั่ง | โปรแกรมที่จะรันบนระบบรีโมต |
ข้อโต้แย้ง | อาร์กิวเมนต์ที่จะส่งผ่านไปยังโปรแกรมระยะไกล ใช้เส้นทางที่แน่นอน |
-a | ตั้งค่าความสัมพันธ์ของ CPU เครื่องหมายจุลภาคแยกหมายเลข CPU เริ่มต้นที่ 1 |
-c | คัดลอกโปรแกรมโลคัลไปยังระบบระยะไกลก่อนดำเนินการ |
-f | บังคับคัดลอกไฟล์ระยะไกลที่มีอยู่ |
-v | คัดลอกเฉพาะในกรณีที่โปรแกรมในเครื่องเป็นเวอร์ชันใหม่กว่ารีโมต |
-d | อย่ารอให้โปรแกรมระยะไกลเสร็จสิ้น |
-e | อย่าโหลดโปรไฟล์ผู้ใช้ |
-i | โต้ตอบกับเดสก์ท็อประยะไกล |
-l | ทำงานโดยมีสิทธิ์ผู้ใช้จำกัด (กลุ่มผู้ใช้) |
-n | หมดเวลาการเชื่อมต่อในไม่กี่วินาที |
-p | ระบุรหัสผ่านสำหรับผู้ใช้ |
-r | ชื่อของบริการระยะไกลที่จะโต้ตอบด้วย |
-s | ทำงานภายใต้บัญชีระบบ |
-u | ระบุชื่อผู้ใช้สำหรับการเข้าสู่ระบบ |
-w | ตั้งค่าไดเร็กทอรีการทำงานบนระบบรีโมต |
-x | แสดง UI บนเดสก์ท็อป Winlogon |
-ต่ำ | เรียกใช้ด้วยลำดับความสำคัญต่ำ |
-ยอมรับ | ระงับกล่องโต้ตอบ EULA |
PsExec ไม่ใช่ PowerShell เป็นเครื่องมือบรรทัดคำสั่งที่ช่วยให้ผู้ใช้สามารถเรียกใช้โปรแกรมบนระบบระยะไกล
ในทางกลับกัน PowerShell เป็นระบบอัตโนมัติของงานและเฟรมเวิร์กการจัดการการกำหนดค่าที่พัฒนาโดย Microsoft ซึ่งรวมถึงเชลล์บรรทัดคำสั่งและภาษาสคริปต์ที่เกี่ยวข้องซึ่งสร้างขึ้นบนเฟรมเวิร์ก .NET PowerShell สามารถใช้เพื่อทำงานต่างๆ โดยอัตโนมัติและดำเนินการที่ซับซ้อนบนระบบโลคัลหรือรีโมต
แม้ว่าสามารถใช้ทั้ง PsExec และ PowerShell เพื่อทำงานที่คล้ายกันได้ เช่น การเรียกใช้คำสั่งบนระบบรีโมต แต่ก็เป็นเครื่องมือที่แตกต่างกันและมีความสามารถที่แตกต่างกัน PsExec ได้รับการออกแบบมาเพื่อรันคำสั่งเดียวหรือแอปพลิเคชันบนระบบรีโมต ในขณะที่ PowerShell เป็นเฟรมเวิร์กที่ทรงพลังกว่า ซึ่งสามารถใช้เพื่อทำงานอัตโนมัติและจัดการงานต่างๆ รวมถึงการรันคำสั่งและสคริปต์บนระบบรีโมต
ดังนั้น ขึ้นอยู่กับสถานการณ์ เครื่องมือหนึ่งอาจเหมาะสมกว่าอีกเครื่องมือหนึ่ง
PsExec ทำงานโดยใช้ประโยชน์จากสถาปัตยกรรมที่เป็นเอกลักษณ์และโปรโตคอลการสื่อสารเพื่อเปิดใช้งานการดำเนินการระยะไกลบนระบบ Windows เรามาสำรวจประเด็นสำคัญเกี่ยวกับวิธีการทำงานของ PsExec กัน:
PsExec เป็นไปตามสถาปัตยกรรมไคลเอ็นต์-เซิร์ฟเวอร์ ส่วนประกอบฝั่งไคลเอ็นต์ซึ่งดำเนินการบนระบบภายในเครื่อง จะสร้างการเชื่อมต่อกับส่วนประกอบฝั่งเซิร์ฟเวอร์ที่ทำงานบนระบบระยะไกล การเชื่อมต่อนี้ทำให้สามารถส่งคำสั่งและข้อมูลระหว่างทั้งสองระบบได้
PsExec ใช้โปรโตคอล Server Message Block (SMB) โดยเฉพาะการแชร์ไฟล์ SMB และกลไกการตั้งชื่อไปป์ เพื่อสร้างช่องทางการสื่อสารกับระบบระยะไกล ซึ่งช่วยให้เกิดการสื่อสารที่ปลอดภัยและเชื่อถือได้ระหว่างส่วนประกอบไคลเอนต์และเซิร์ฟเวอร์
PsExec ใช้กลไกการตรวจสอบสิทธิ์เพื่อให้แน่ใจว่าสามารถเข้าถึงระบบระยะไกลได้อย่างปลอดภัย รองรับวิธีการพิสูจน์ตัวตนที่หลากหลาย รวมถึงการใช้ชื่อผู้ใช้และรหัสผ่าน หรือการตรวจสอบสิทธิ์ผ่าน NTLM (NT LAN Manager) หรือ Kerberos.
เพื่อเพิ่มความปลอดภัย การปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับการรับรองความถูกต้องเมื่อใช้ PsExec ถือเป็นสิ่งสำคัญ แนวทางปฏิบัติเหล่านี้รวมถึงการใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน การตรวจสอบหลายปัจจัย หากเป็นไปได้ และยึดมั่นในหลักการของสิทธิ์ขั้นต่ำโดยการให้สิทธิ์ที่จำเป็นแก่ผู้ใช้ PsExec เท่านั้น
PsExec อำนวยความสะดวกในการเข้าถึงไฟล์และรีจิสทรีบนระบบระยะไกล ช่วยให้ผู้ดูแลระบบสามารถดำเนินการต่างๆ เช่น การคัดลอกไฟล์ เรียกใช้สคริปต์ หรือแก้ไขการตั้งค่ารีจิสทรี เมื่อดำเนินการคำสั่งจากระยะไกล PsExec จะคัดลอกไฟล์ปฏิบัติการหรือสคริปต์ที่จำเป็นไปยังไดเร็กทอรีชั่วคราวของระบบระยะไกลชั่วคราวก่อนที่จะดำเนินการ
สิ่งสำคัญคือต้องพิจารณาข้อควรพิจารณาด้านความปลอดภัยที่อาจเกิดขึ้นเมื่อใช้ PsExec สำหรับการดำเนินการไฟล์และรีจิสทรี ตัวอย่างเช่น ผู้ดูแลระบบควรใช้ความระมัดระวังเมื่อถ่ายโอนไฟล์ที่ละเอียดอ่อน และตรวจสอบให้แน่ใจว่ามีการควบคุมการเข้าถึงที่เหมาะสมเพื่อป้องกันการเข้าถึงหรือการแก้ไขไฟล์ระบบที่สำคัญและรายการรีจิสตรีโดยไม่ได้รับอนุญาต
PsExec ไม่ใช่มัลแวร์ แต่สามารถใช้โดยมัลแวร์และผู้โจมตีเพื่อดำเนินการที่เป็นอันตราย
PsExec เป็นเครื่องมือที่ถูกต้องที่ช่วยให้ผู้ใช้สามารถเรียกใช้โปรแกรมบนระบบระยะไกล สามารถใช้กับงานที่ถูกต้องตามกฎหมายได้หลากหลาย เช่น การแก้ไขปัญหา การปรับใช้ซอฟต์แวร์อัพเดตและแพตช์ และการดำเนินการคำสั่งและสคริปต์บนหลายระบบพร้อมกัน
อย่างไรก็ตาม ผู้โจมตียังสามารถใช้ PsExec เพื่อเข้าถึงระบบระยะไกลโดยไม่ได้รับอนุญาตและดำเนินการที่เป็นอันตรายได้ ตัวอย่างเช่น ผู้โจมตีสามารถใช้ PsExec เพื่อดำเนินการเพย์โหลดที่เป็นอันตรายบนระบบระยะไกล หรือย้ายด้านข้างภายในเครือข่ายและเข้าถึงข้อมูลที่ละเอียดอ่อน
ดังนั้น สิ่งสำคัญคือต้องใช้ PsExec อย่างปลอดภัย และจำกัดการใช้ PsExec เฉพาะผู้ใช้และระบบที่เชื่อถือได้
การเข้าถึงระยะไกลอย่างราบรื่นของ PsExec เปิดใช้งานจากเครื่องต้นทางไปยังเครื่องเป้าหมายถูกใช้งานอย่างไม่เหมาะสมโดยผู้แสดงภัยคุกคามในระหว่างขั้นตอนการเคลื่อนไหวด้านข้างในการโจมตีทางไซเบอร์ โดยทั่วไปสิ่งนี้จะเกิดขึ้นหลังจากการประนีประนอมครั้งแรกของเครื่องที่ไม่มีผู้ป่วย
จากจุดนั้นเป็นต้นมา ผู้โจมตีพยายามขยายการแสดงตนภายในสภาพแวดล้อมและเข้าถึงโดเมนที่ครอบงำหรือข้อมูลเฉพาะที่พวกเขาต้องการ PsExec มอบวิธีที่ราบรื่นและเชื่อถือได้เพื่อให้บรรลุเป้าหมายดังกล่าวด้วยเหตุผลดังต่อไปนี้
ด้วยการรวมข้อมูลรับรองผู้ใช้ที่ถูกบุกรุกเข้ากับ PsExec ผู้ไม่หวังดีสามารถเลี่ยงผ่านกลไกการตรวจสอบสิทธิ์ เข้าถึงระบบต่างๆ และอาจส่งผลต่อส่วนสำคัญของเครือข่ายได้ แนวทางนี้ช่วยให้พวกเขาสามารถเคลื่อนที่ไปด้านข้าง เพิ่มสิทธิพิเศษ และดำเนินการตามวัตถุประสงค์ที่เป็นอันตรายโดยมีผลกระทบในวงกว้างมากขึ้น
PsExec มักถูกมองว่าเป็นเครื่องมือ "การใช้ชีวิตนอกพื้นที่" ที่ถูกเลือกสำหรับการโจมตีแบบเคลื่อนที่ด้านข้าง เนื่องจากปัจจัยสำคัญหลายประการ:
สิ่งสำคัญที่ควรทราบก็คือ แม้ว่า PsExec จะมีกรณีการใช้งานที่ถูกต้องตามกฎหมาย แต่ศักยภาพในการใช้งานในทางที่ผิดและการมีอยู่ในสภาพแวดล้อมเป้าหมาย ทำให้ PsExec กลายเป็นเครื่องมือที่น่าสนใจสำหรับฝ่ายตรงข้ามที่ต้องการทำการโจมตีแบบเคลื่อนที่ด้านข้าง องค์กรควรใช้มาตรการรักษาความปลอดภัยที่เข้มงวด เช่น การแบ่งส่วนเครือข่าย การจัดการข้อมูลประจำตัว และระบบตรวจสอบ เพื่อตรวจจับและป้องกันการใช้ PsExec หรือเครื่องมือที่คล้ายกันโดยไม่ได้รับอนุญาต
การใช้ PsExec สำหรับการเคลื่อนไหวด้านข้างมีข้อดีหลายประการ ransomware นักแสดง:
เครื่องมือป้องกันปลายทางอาจประสบปัญหาในการตรวจจับและป้องกันการใช้ PsExec ที่เป็นอันตรายเนื่องจากสาเหตุหลายประการ:
เครื่องมือ MFA แบบดั้งเดิมอาจเผชิญกับข้อจำกัดใน ป้องกันการเคลื่อนไหวด้านข้าง ใช้ PsExec เนื่องจากเหตุผลดังต่อไปนี้:
PsExec ได้รับความนิยมในหมู่ผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัยจากความสามารถในการจัดการระยะไกลที่ถูกต้องตามกฎหมายและมีประสิทธิภาพ อย่างไรก็ตาม เช่นเดียวกับเครื่องมืออื่นๆ PsExec อาจถูกนำไปใช้ในทางที่ผิดเพื่อจุดประสงค์ที่เป็นอันตรายได้เช่นกัน ในช่วงไม่กี่ปีที่ผ่านมา ผู้แสดงภัยคุกคามได้เริ่มรวม PsExec เข้ากับกลยุทธ์การโจมตีแรนซัมแวร์ ทำให้กลายเป็นองค์ประกอบที่อาจเป็นอันตรายในคลังแสงของพวกเขา
ภายในห้าปีที่ผ่านมา อุปสรรคด้านทักษะได้ลดลงอย่างมาก และการเคลื่อนไหวด้านข้างด้วย PsExec ได้รวมอยู่ในการโจมตีแรนซัมแวร์มากกว่า 80% ทำให้การป้องกันการรับรองความถูกต้องที่เป็นอันตรายผ่าน PsExec เป็นสิ่งจำเป็นสำหรับทุกองค์กร
การโจมตีด้วยแรนซัมแวร์เกี่ยวข้องกับผู้ประสงค์ร้ายที่เข้าถึงระบบโดยไม่ได้รับอนุญาต เข้ารหัสข้อมูลสำคัญ และเรียกร้องค่าไถ่สำหรับการเปิดตัว ก่อนหน้านี้ ผู้โจมตีมักจะอาศัยเทคนิควิศวกรรมสังคมหรือใช้ประโยชน์จากชุดอุปกรณ์เพื่อเข้าถึงเบื้องต้น อย่างไรก็ตาม ขณะนี้พวกเขาได้ขยายกลยุทธ์ด้วยการใช้เครื่องมือที่ถูกต้องตามกฎหมาย เช่น PsExec เพื่อเผยแพร่ภายในเครือข่ายที่ถูกบุกรุก
ในการโจมตีด้วยแรนซัมแวร์ เมื่อผู้คุกคามสามารถเข้าถึงระบบเดียวภายในเครือข่ายได้ พวกเขาตั้งเป้าที่จะย้ายออกไปด้านข้างและแพร่ระบาดไปยังระบบต่างๆ ให้ได้มากที่สุดเท่าที่จะเป็นไปได้ PsExec มอบวิธีการที่สะดวกและมีประสิทธิภาพสำหรับการเคลื่อนไหวด้านข้างนี้ ผู้โจมตีใช้ PsExec เพื่อรันเพย์โหลดแรนซัมแวร์จากระยะไกลบนระบบที่มีช่องโหว่อื่นๆ ซึ่งแพร่กระจายการติดไวรัสอย่างรวดเร็วทั่วทั้งเครือข่าย
ด้วยการรวม PsExec เข้ากับห่วงโซ่การโจมตี อาชญากรไซเบอร์จะได้รับข้อได้เปรียบหลายประการ ประการแรก PsExec อนุญาตให้ดำเนินการคำสั่งและเรียกใช้เพย์โหลดที่เป็นอันตรายแบบเงียบๆ และจากระยะไกล ซึ่งช่วยลดโอกาสในการตรวจจับ ประการที่สอง เนื่องจาก PsExec เป็นเครื่องมือที่ถูกกฎหมาย จึงมักจะข้ามมาตรการรักษาความปลอดภัยแบบเดิมๆ ที่เน้นไปที่ลายเซ็นของมัลแวร์ที่รู้จัก สิ่งนี้ทำให้ผู้โจมตีสามารถผสมผสานเข้ากับการรับส่งข้อมูลเครือข่ายปกติ ทำให้ยากต่อการตรวจจับกิจกรรมของพวกเขา
การป้องกันการโจมตีแรนซัมแวร์ที่ใช้ PsExec ต้องใช้แนวทางแบบหลายชั้น การบรรเทาผลกระทบที่สำคัญบางประการมีดังนี้:
Access Control: ใช้การควบคุมการเข้าถึงที่เข้มงวด เพื่อให้มั่นใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงระบบที่สำคัญของผู้ดูแลระบบได้ การจำกัดจำนวนบัญชีที่มีสิทธิ์ PsExec สามารถช่วยลดปัญหาได้ พื้นผิวการโจมตี.
การป้องกันปลายทาง: ปรับใช้และบำรุงรักษาโซลูชันการป้องกันปลายทางที่แข็งแกร่ง ซึ่งรวมถึงกลไกการตรวจจับตามพฤติกรรม สิ่งเหล่านี้สามารถช่วยระบุและบล็อกกิจกรรมที่น่าสงสัยที่เกี่ยวข้องกับการใช้งาน PsExec
การแบ่งส่วนเครือข่าย: ใช้การแบ่งส่วนเครือข่ายเพื่อจำกัดโอกาสการเคลื่อนไหวด้านข้างสำหรับผู้โจมตี การแยกระบบที่สำคัญและการจำกัดการเข้าถึงระหว่างส่วนเครือข่ายสามารถช่วยลดผลกระทบจากการติดแรนซัมแวร์ที่อาจเกิดขึ้นได้
การตรวจสอบและการตรวจจับความผิดปกติ: ใช้ระบบการตรวจสอบเครือข่ายและการตรวจจับความผิดปกติที่ครอบคลุมซึ่งสามารถตั้งค่าสถานะการใช้งาน PsExec ที่ผิดปกติหรือไม่ได้รับอนุญาต การตรวจสอบและการตอบสนองต่อการแจ้งเตือนดังกล่าวโดยทันทีสามารถช่วยลดความเสียหายที่อาจเกิดขึ้นได้