DeepBlueCLI - 通过 Windows 事件日志进行威胁搜寻的 PowerShell 模块
https://github.com/sans-blue-team/DeepBlueCLI
可疑账户行为
用户创建
用户添加到本地/全局/通用组
密码猜测(多次登录失败,一个账号)
通过登录失败进行密码喷洒(多次登录失败,多个帐户)
通过显式凭据进行密码喷洒
Bloodhound(分配给具有多个安全 ID 的同一帐户的管理员权限)
命令行/Sysmon/PowerShell 审计
长命令行
正则表达式搜索
混淆命令
通过 WMIC 或 PsExec 启动的 PowerShell
PowerShell Net.WebClient 下载字符串
压缩/Base64 编码命令(带自动解压/解码)
未签名的 EXE 或 DLL
服务审计
可疑的服务创建
服务创建错误
停止/启动 Windows 事件日志服务(潜在的事件日志操作)
Mimikatz
lsadump::sam
EMET 和 Applocker 块
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
.\DeepBlue.ps1 -log security
或者
.\DeepBlue.ps1
.\DeepBlue.ps1 -log system
.\DeepBlue.ps1 .\evtx\new-user-security.evtx
.\DeepBlue.ps1 .\evtx\disablestop-eventlog.evtx
.\DeepBlue.ps1 .\evtx\metasploit-psexec-native-target-security.evtx
.\DeepBlue.ps1 .\evtx\metasploit-psexec-native-target-system.evtx
.\DeepBlue.ps1 .\evtx\metasploit-psexec-powershell-target-security.evtx
.\DeepBlue.ps1 .\evtx\metasploit-psexec-powershell-target-system.evtx
lsadump::sam
.\DeepBlue.ps1 .\evtx\mimikatz-privesc-hashdump.evtx
.\DeepBlue.ps1 .\evtx\new-user-security.evtx
.\DeepBlue.ps1 .\evtx\Powershell-Invoke-Obfuscation-encoding-menu.evtx
.\DeepBlue.ps1 .\evtx\Powershell-Invoke-Obfuscation-string-menu.evtx
.\DeepBlue.ps1 .\evtx\smb-password-guessing-security.evtx
.\DeepBlue.ps1 .\evtx\password-spray.evtx
.\DeepBlue.ps1 .\evtx\powersploit-security.evtx
.\DeepBlue.ps1 .\evtx\powersploit-system.evtx
.\DeepBlue.ps1 .\evtx\psattack-security.evtx
.\DeepBlue.ps1 .\evtx\new-user-security.evtx