Comments 5
В винде нынче есть curl.exe, который не алиас, а который прям curl, даже ставить ничего не надо. По информаци на начало года, по крайней мере встроенные средства ничего не блокировали.
К сожалению, ничего не нашел в документации по этому поводу. По крайней мере, в моем билде 22621.3880 Win 11 и Win 10 такой утилиты нет. Если предположить, что она появилась недавно, то в контексте массовой атаки цель нарушителя захватить больше конечных точек и узлов. А если ПО появилось недавно, то и реализовать атаку можно будет на небольшом количестве устройств по сравнению с "старым ПО". Для этого в примере и используем PS v1.
На Microsoft Windows [Version 10.0.19044.2846] есть curl.
Доустанавливал в компонентах .NetFramework 3.5, но не ставил WSL
Ну и техника для поиска как инструмент неожиданно, спасибо.
Ну а по поводу защиты была хорошая статья по Software Restriction Policies - не должно быть прав запуска из областей доступных для записи + разрешенные приложения.
Да, вы правы, так же нашел утилиту в недрах директории. Касаемо контроля приложений, чем больше организация, тем сложнее настроить "белые списки" для ПО. Тут скорее зависит от размеров компании, но в идеале, конечно можно и поднять еще свои репозитории с безопасным ПО. Но в основном контроль запуска и работы приложений лежит на EPP. А идея "не должно быть прав запуска из областей доступных для записи ", кажется интересной !
На этапе Шаг 0 второй скриншот такой же, как и первый, т.е. не тот, что надо.
Заражение по фэншую или разбор атаки через уязвимости Windows