Introduccion a Sysinternals
Los binarios de Sysinternals son un conjunto de herramientas de utilidad para administradores de sistemas que fueron creadas originalmente por Mark Russinovich y Bryce Cogswell y posteriormente adquiridas por Microsoft. Estas herramientas ofrecen una amplia gama de funcionalidades para diagnosticar, solucionar problemas y monitorear sistemas Windows.
Dado que estas herramientas ofrecen un profundo acceso y visibilidad sobre los sistemas Windows, tanto ciberdelincuentes como hackers éticos las encuentran valiosas por diversas razones:
Enumeración y Reconocimiento: Herramientas como
PsInfo
pueden proporcionar detalles sobre un sistema, lo que permite a un atacante o a un hacker ético entender mejor el entorno que están explorando.Manipulación de Procesos: Con herramientas como
ProcDump
,Process Explorer
yPsKill
, los atacantes pueden volcar la memoria de un proceso, explorar procesos en ejecución con detalle o matar procesos, respectivamente.Monitoreo de Actividad del Sistema:
ProcMon
permite a los usuarios monitorear actividad de archivos, registro y procesos en tiempo real. Esto puede ayudar a entender cómo funciona un programa o detectar actividad sospechosa.Gestión de Sesiones y Logon:
PsLoggedOn
puede mostrar quién está logueado en un sistema y a través de qué medios, lo que puede ser útil para determinar otros posibles vectores de ataque o entender el comportamiento del usuario.Movimiento Lateral: Herramientas como
PsExec
permiten la ejecución de procesos en sistemas remotos, lo cual es invaluable para el movimiento lateral dentro de una red.Evasión: Algunos de los binarios de Sysinternals pueden ser usados de formas creativas para evadir soluciones de seguridad o para ejecutar comandos de maneras que no son típicamente monitoreadas.
Última actualización