ابزار PsExec از مجموعه Sysinternals ابزارِ قدرتمندی برای اجرای فرامین از راه دوره — هم ادمینها استفاده میکنن و هم مهاجمان. اگر دنبال lateral movement یا اجرای کد با امتیاز SYSTEM هستید، این نقاط رو سریع چک کنید:
• وجود psexec.exe یا PSEXESVC.exe در لاگهای ProcessCreate/EDR.
• فرمانهای مشکوک: پرچمهایی مثل -s, -d, -accepteula, -nobanner, یا powershell -enc <base64>.
• نوشتن فایل به \\<host>\ADMIN$ یا copy کردن PSEXESVC.exe روی میزبانهای متعدد.
• سرویسهای موقت ساخته/حذفشده که والدشون services.exe یا PSEXESVC.exe است.
لینک مقاله برای مطالعه کامل
تیم سورین
#psexec
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
Hunting For PsExec.exe abuse
PsExec is a powerful command-line utility from the Microsoft Sysinternals Suite, designed for remote command execution. It enables system…
❤1