Sysinternals Suite to zestaw ponad 70 darmowych narzędzi, za pomocą których można zajrzeć w najgłębsze zakamarki Windowsa (częściowo również Linuksa), analizować uruchomione procesy, badać aktywność sieciową, monitorować zmiany w plikach czy też w rejestrze. W związku z tym programy Sysinternals cieszą się dużym uznaniem wśród administratorów IT, pentesterów i informatyków śledczych, ale oczywiście nie uchodzą one też uwadze cyber-zbójom. 

Można śmiało powiedzieć, że znajomość arsenału Sysinternals jest niezbędna dla każdego, kto profesjonalnie pracuje z ekosystemem Microsoftu. Zrozumienie i umiejętne wykorzystanie chociażby kilku narzędzi znacząco podnosi efektywność pracy.

Sysinternals – ogólne spojrzenie

Sysinternals zostało stworzone przez Marka Russinovicha oraz Bryce’a Cogswellsa pod koniec lat 90. pod sztandarem firmy Winternals Software. W 2006 roku dostrzegając ogromny potencjał narzędzi, Microsoft zdecydował się na zatrudnienie Russinovicha. Narzędzia Sysinternals przyjęły wtedy sztandar giganta z Redmond, a Mark oprócz dalszego rozwoju narzędzi, rozpoczął kolejny ambitny projekt, który znamy dzisiaj pod nazwą Microsoft Azure. Sysinternals pod banderą Microsoftu jest rozwijane do dziś i systematycznie otrzymuje nowe funkcje.

Przyjrzyjmy się wybranym programom Sysinternals Suite, które mogą szczególnie przydać się specjalistom bezpieczeństwa IT. 

Narzędzia pracujące z procesami

W tej kategorii mamy programy umożliwiające monitorowanie oraz kontrolowanie procesów, wątków i usług systemowych. Wyróżniają się w tu przede wszystkim narzędzia:

• Process Explorer – będący zaawansowaną alternatywą dla systemowego menadżera zadań;
• ProcDump – tworzy zrzuty pamięci procesu w momencie spełnienia konkretnych warunków;
• Process Monitor – rejestruje wszystkie operacje w systemie (m.in. operacje wykonywane na plikach i w rejestrze, a także aktywność sieciową).

Rysunek 1. Process Monitor ze skonfigurowanym filtrem do pokazywania akcji zapisu (Category: Write) do rejestru (Event Class: Registry) przez Eksplorator plików (Process Name: explorer.exe).

Narzędzia bezpieczeństwa

Znajdziemy tu programy szczególnie przydatne w monitoringu i analizie bezpieczeństwa systemu. Flagowymi programami w tej kategorii są:

• Autoruns – pokazuje wszelkie oprogramowanie uruchamiane lub ładowane wraz ze startem systemu Windows;
• Sysmon – szczegółowo rejestruje aktywność systemu i wykrywa podejrzane działania, a także dobrze integruje się z systemami SIEM. 

Przydatnymi narzędziami bezpieczeństwa są również: 

• AccessChk/AccessEnum – za pomocą których możemy audytować i zarządzać uprawnieniami obiektów systemowych;
• LogonSessions – wyświetla listę aktywnych sesji;
• SDelete – pozwala bezpiecznie usuwać („shredować”) pliki/czyścić dyski; 
• ShareEnum – listuje wszystkie udostępnione zasoby sieciowe oraz
• Sigcheck – weryfikujący podpisy cyfrowe plików wykonywalnych i sterowników.

Rysunek 2. Autoruns wyświetlający programy uruchamiane automatycznie na danym komputerze. Dla wskazanych aplikacji (np. PowerToys.Runner) możemy sprawdzić m.in. stan weryfikacji podpisów cyfrowych programu – (Verified) Microsoft Corporation – a także wynik zwracany przez Virus Total dla jego hasha – (znaleziony w 0/74 silników antywirusowych). 

Narzędzia „PsTools”

W skład tej kategorii wchodzą narzędzia konsolowe do zdalnej administracji. Narzędzia komunikują się za pomocą protokołu RPC (Remote Procedure Call), wywołując natywne funkcje Windows. Oznacza to, że nie ma potrzeby instalowania dodatkowego oprogramowania ani na komputerze, na którym uruchomiamy PsTools, ani nawet na komputerze, który będzie w ten sposób zarządzany.

Często używanymi narzędziami PsTools są:

• PsExec (*) – uruchamia programy/polecenia na wskazanym systemie, może stanowić odpowiednik SSH;
• PsInfo (*) – pokazuje informacje o wskazanym systemie, w tym o jego oprogramowaniu oraz zamontowanych wolumenach. PsInfo nie parsuje listy kilku komputerów, ale akceptuje wildcard *, zwracając wtedy informacje o wszystkich komputerach w domenie;
• PsKill – kończy działanie procesu;
• PsLogList (*) – pobiera dzienniki zdarzeń;
• PsLoggedOn (*) – wypisuje sesje kont działające na danym systemie;
• PsService – zarządza usługami systemowymi;
• PsShutdown – wyłącza wskazany komputer.

Nawiązanie połączenia wymaga podania nazwy komputera lub jego adresu IP (np. \\VIZZPC), nazwy użytkownika (parametr -u), a także hasła (parametr –p). Warto zaznaczyć, że większość narzędzi PsTools może wykonywać operacje na wielu komputerach jednocześnie, np.:

> psinfo \\VIZZPC1,VIZZPC2,VIZZPC3

> psinfo *

Rysunek 3. Program PsInfo wyświetlający informacje o wskazanym komputerze w sieci, wraz z danymi o używanych przez niego wolumenach (-d) oraz o zainstalowanym oprogramowaniu (-s).

Inne popularne narzędzia

Wśród specjalistów bezpieczeństwa IT uznaniem cieszą się również programy:

• AdExplorer (Active Directory Explorer) – bardzo popularne narzędzie administratorów domeny oraz pentesterów. Umożliwia wygodne poruszanie się po bazie Active Directory, sprawdzania i wyszukiwania obiektów, edycję uprawnień, a także na wykonywanie migawek do późniejszego przeglądania offline;
• ADInsight (Insight for Active Directory) – monitoruje w czasie rzeczywistym wywołania API LDAP, dzięki czemu możemy sprawdzić, jak wyglądają zapytania LDAP w systemie lub w aplikacjach;
• Disk2VHD – umożliwia konwersję fizycznych dysków na wirtualne dyski VHD, które można potem użyć przykładowo w Hyper-V, VMware lub Virtualboksie. Program umożliwia tworzenie kopii dysku nawet bezpośrednio w działającym systemie (korzystając z mechanizmu Volume Shadow Copy), co może być bardzo ciekawą opcją szybkiego „zwirtualizowania” systemu do dalszej analizy;
• Hex2dec – proste narzędzie konsolowe konwertujące liczby w formacie szesnastkowym na dziesiętny (i w drugą stronę);
• Remote Desktop Connection Manager – umożliwia wygodne zarządzanie sesjami RDP (zapisuje wspólne poświadczenia, pozwala na korzystanie z kilku sesji RDP jednocześnie itp.);
• Regjump – pozwala z linii komend otworzyć edytor rejestru we wskazanym miejscu (czego bezpośrednio nie umożliwia regedit);
• Strings – odpowiednik linuksowego programu o tej samej nazwie, wyszukujący ciągi znaków ASCII lub UNICODE w dowolnych plikach. Szczególnie przydatny w czasie analizy złośliwego oprogramowania oraz przy rozwiązywaniu zadań CTF;
• Streams – umożliwia przeglądanie, tworzenie, usuwanie i modyfikowanie danych ADS (Alternative Data Streams);
• TCPView – pokazuje połączenia TCP oraz UDP w systemie, stanowiąc graficzną alternatywę dla konsolowego polecenia netstat;
• Whois – odpowiednik linuksowego programu o tej samej nazwie, zwracający informacje z bazy whois na temat wskazanej domeny lub adresu IP;
• ZoomIt – przydatny program użytkowy, dzięki któremu można powiększać zawartość ekranu oraz rysować po nim odręczne adnotacje, co szczególnie przydaje się w czasie współdzielenia ekranu innym osobom (na przykład prowadząc szkolenia online).

Rysunek 4. TCPView wyświetlający informacje o ustanowionych połączeniach sieciowych wraz z sortowaniem po kolumnie Recv Bytes. Wiersze podświetlone na żółto pokazują aplikacje, których statystyki ruchu sieciowego zostały zaktualizowane w ostatnim czasie (tutaj: 5 sekund).

Powyższe zestawienie to tylko wierzchołek góry lodowej. Sysinternals to nieoceniony arsenał narzędzi, warto więc co jakiś czas odwiedzić witrynę Microsoft Learn i przyjrzeć się indeks wszystkich programów wchodzących w skład Sysinternals Suite (https://learn.microsoft.com/sysinternals/downloads/).

Pobieranie i uruchamianie narzędzi

Sysinternals możemy pobrać na kilka różnych sposobów. Warto poznać je wszystkie, gdyż w różnych scenariuszach przydają się różne opcje. 

Najbardziej podstawowym sposobem jest pobranie narzędzi z oficjalnej strony Microsoft Learn https://learn.microsoft.com/sysinternals/downloads/. Możemy pobrać cały zestaw SysinternalsSuite.zip lub pojedyncze programy (jako poszczególne archiwa ZIP). Jeżeli chcemy szybko ściągnąć sam plik wykonywalny konkretnego narzędzia, najlepiej użyć do tego witryny https://live.sysinternals.com/.

Rysunek 5. Szybkie pobieranie wybranych narzędzi z witryny live.sysinternals.com.

Wygodną opcją jest instalacja Sysinternals Suite ze sklepu Microsoft Store. Daje to kilka korzyści: narzędzia są widoczne w zmiennej środowiskowej %PATH%, do rejestru dodawane są informacje o zaakceptowanej licencji EULA (to dla narzędzi konsolowych bardzo ważne – o czym dowiemy się w następnym rozdziale), a cały pakiet jest automatycznie aktualizowany. W przypadku ściągania innymi metodami, o wszystkie te rzeczy musimy zatroszczyć się sami.

Jeżeli preferujemy pracę z linią komend, to narzędzia możemy zainstalować za pomocą polecenia winget. W takim wypadku możemy pobrać cały pakiet Sysinternals Suite, programy z kategorii PsTools Suite lub pojedyncze aplikacje.

> winget search sysinternals

Name                              Id                                    

————————————————————————

Sysinternals Suite                9P7KNL5RWT25                          

TCPView                           Microsoft.Sysinternals.TCPView        

Sysmon                            Microsoft.Sysinternals.Sysmon         

Strings                           Microsoft.Sysinternals.Strings        

Process Monitor                   Microsoft.Sysinternals.ProcessMonitor 

Process Explorer                  Microsoft.Sysinternals.ProcessExplorer

Handle                            Microsoft.Sysinternals.Handle         

FindLinks                         Microsoft.Sysinternals.FindLinks      

Desktops                          Microsoft.Sysinternals.Desktops       

BGInfo                            Microsoft.Sysinternals.BGInfo         

Autoruns                          Microsoft.Sysinternals.Autoruns       

ZoomIt                            Microsoft.Sysinternals.ZoomIt         

Remote Desktop Connection Manager Microsoft.Sysinternals.RDCMan         

PsTools Suite                     Microsoft.Sysinternals.PsTools       

> winget install „Sysinternals Suite” (należy zwrócić uwagę, aby pełną nazwę programu wpisać między cudzysłowiami)

Niezwykle ciekawą opcją jest uruchomienie narzędzi bezpośrednio z udziału sieciowego witryny live.sysinternals.com. Aby to zrobić wystarczy w oknie Uruchamianie (WIN+R) lub w pasku adresu Eksploratora plików wpisać adres \\live.sysinternals.com\tools. Jest to najszybsza metoda skorzystania z pakietu Sysinternals, eliminująca konieczność jakiegokolwiek ściągania, rozpakowywania czy instalowania narzędzi.

Rysunek 6. Najszybsza metoda uruchamiania Sysinternals z wykorzystaniem udziałów sieciowych.

Cechy wspólne narzędzi

Uruchamianie

Narzędzia Sysinternals są pojedynczymi plikami wykonywalnymi. Niezależnie od wybranej metody pozyskania narzędzi, wystarczy uruchomić odpowiedni plik exe. Niektóre narzędzia są skonstruowane w taki sposób, aby działać w trybie GUI, niektóre zaś są programami czysto konsolowymi. Trzeba się przyzwyczaić do tego, że trzeba sprawdzać dokumentację, aby w pełni wykorzystać możliwości danego narzędzia.

Częstą niewygodą w uruchamianiu specjalistycznych narzędzi Windows jest to, że trzeba wybierać wersję 32 lub 64-bitową. Gdy przyjrzymy się plikom Sysinternals, zauważymy, że wiele z nich występuje w dwóch wariantach – możemy więc uruchomić np. AdExplorer.exe, jak i AdExplorer64.exe (patrz: Rysunek 7.). Najwygodniejszym sposobem jest uruchamianie narzędzi bez prefiksu 64 (np. Autoruns.exe zamiast Autoruns64.exe). Sysinternals wtedy sam wykryje architekturę systemu, a następnie wypakuje i uruchomi program w wersji 32 lub 64-bitowej. Z tego powodu rozmiar programów bez sufiksu 64 jest dwukrotnie większy, ponieważ zawiera „w sobie” wersję na obie architektury (wyjątkiem jest instalacja pakietu przez Windows Store – wtedy ściągane są narzędzia tylko dla obecnie wykorzystywanej architektury). 

Warto mieć na uwadze, że niektóre z narzędzi można uruchamiać w kontekście zwykłego użytkownika, ale część potrzebuje uprawnień Administratora, np. z powodu potrzeby uruchomienia dodatkowego filtru sterownika jądra (robi tak np. procmon, aby rejestrować wszystkie zmiany w systemie). W wielu przypadkach narzędzia można uruchomić z niskimi uprawnieniami bez utraty funkcjonalności. W takim wypadku przed wykonaniem czynności wymagającej wysokich uprawnień – program sam poprosi nas o odpowiednie poświadczenia.

Licencja i przełącznik /AcceptEula

Narzędzia mają bardzo liberalną licencję, jednak koniecznie trzeba zwrócić uwagę na kilka rzeczy.

Zacznijmy od tego, że Sysinternals Suite jest oprogramowaniem całkowicie darmowym (wliczając użytek komercyjny), ale kod narzędzi nie jest udostępniony. Licencja zabrania własnej dystrybucji narzędzi, a także używania ich jako część swojego oprogramowania. 

Podczas pierwszego użycia każdego z narzędzi należy zaakceptować licencję EULA. Akceptacja dla danego programu jest zapamiętywana w rejestrze, więc okienka z licencją szybko przestają przeszkadzać. Należy jednak zwrócić szczególną uwagę w czasie pracy wsadowej: za każdym razem należy wywoływać programy z przełącznikiem /accepteula. W przeciwnym razie uruchomienie narzędzia na innym komputerze zakończy się błędem Eula declined. 

Rysunek 7. Każde z narzędzi Sysinternals przed pierwszym użyciem wymaga zaakceptowania licencji EULA. Brak użycia przełącznika /accepteula jest najczęstszą przyczyną niewykonywania skryptów wdrażanych na wielu komputerach.

Warto nadmienić, że istnieje możliwość akceptacji EULA dla wszystkich narzędzi pakietu. Aby to zrobić, wystarczy dodać wpis rejestru (typu REG_DWORD) o nazwie EulaAccepted i wartości 1 w kluczu HKEY_CURRENT_USER\Software\Sysinternals. Można do tego wykorzystać następujące polecenie linii komend:

reg.exe ADD HKCU\Software\Sysinternals /v EulaAccepted /t REG_DWORD /d 1 /f

Wpływ na system

Chociaż programy Sysinternals są projektowane tak, aby minimalizować swój wpływ na system, warto wiedzieć, że nie kamuflują one swojego użycia, więc po ich użyciu mogą pozostać w systemie pewne artefakty. 

Ogólne konfiguracje narzędzi są zapisywane w kluczu rejestru HKEY_CURRENT_USER\Software\Sysinternals – przykładowo Process Monitor zapisuje tam ustawienia filtrów, dzięki czemu jego konfiguracja jest zachowywana między sesjami. W tym samym kluczu zapisywane są też informacje o akceptacji licencji EULA.

W katalogu %TEMP% kontekstu użytkownika mogą pojawić się pliki tymczasowe, choć programy dbają o to, aby usunąć je po zakończeniu pracy. 

Narzędzia korzystające ze sterowników trybu jądra, zapisują jego pliki do katalogu %SystemRoot%\System32\Drivers. Po zakończeniu korzystania z programu pliki te są usuwane, ale sam obraz sterownika pozostaje w pamięci aż do zamknięcia systemu. 

Oczywiście operacje narzędzi Sysinternals, które mają wpływ na system, będą rejestrowane w Dzienniku zdarzeń.

Sygnatury i podpisy cyfrowe narzędzi

Narzędzia Sysinternals mogą być wykrywane przez systemy antywirusowe, a ich sygnatury i metody działania są rozpoznawane przez zaawansowane systemy AV/XDR, takie jak Windows Defender. Oznacza to, że przed uruchomieniem Sysinternals w środowisku korporacyjnym, należy wcześniej sprawdzić polityki obowiązujące w organizacji lub poprosić o zgodę dział bezpieczeństwa. 

Wszystkie narzędzia Sysinternals są podpisane cyfrowo przez Microsoft. Z jednej strony daje to pewność, że używamy sprawdzonych narzędzi, co jest szczególnie ważne przy analizie zainfekowanych systemów. Z drugiej strony narzędzia Sysinternals mogą być traktowane jako zaufane, nawet w bardzo restrykcyjnych środowiskach (gdyż ich podpisy są podobne do programów takich jak Eksplorator plików, Kalkulator czy Outlook.). Pentesterzy mogą wykorzystać ten fakt, przeprowadzając ataki z technikami „Living Off the Land” (T1036 Masquarede – https://attack.mitre.org/techniques/T1036/). Sposoby wykorzystania Sysinternals w ten sposób są dokumentowane m.in. przez projekt LOLBAS (https://lolbas-project.github.io/), który gromadzi informacje o skryptach, bibliotekach, sterownikach i programach będących integralną częścią systemu, a które można użyć np. do eskalacji uprawnień czy do eksfiltracji danych.

Rysunek 8. Opis technik LotL dla Procdump opisanych na stronie https://lolbas-project.github.io/lolbas/OtherMSBinaries/Procdump/ 

Źródła:

• Troubleshooting with the Windows Sysinternals Tools, by Mark Russinovich and Aaron Margosis, ISBN: 978-0-7356-8444-7
• Sysinternals w witrynie Microsoft Learn – https://learn.microsoft.com/en-us/sysinternals/

~Adrian vizzdoom Michalczyk