Własne narzędzia

Cel: Live Live Process Monitor to narzędzie typu GUI dla systemu Windows, przeznaczone do monitorowania procesów oraz aktywności sieciowej punktu końcowego w oparciu o model baseline-driven. Umożliwia ono utworzenie stanu bazowego (baseline) aktualnie uruchomionych procesów wraz z ich aktywnością sieciową, a następnie przejście do ciągłego monitorowania po utworzeniu baseline w celu wykrywania nowych procesów, procesów zakończonych oraz zmian w połączeniach sieciowych TCP i UDP. W przeciwieństwie do narzędzi prezentujących jedynie chwilowy, bieżący stan systemu, Live Process Monitor nie usuwa obserwacji zebranych po utworzeniu baseline. Cała aktywność procesów i sieci po baseline jest stale gromadzona, zachowywana i prezentowana w formie historii audytowej, co pozwala na analizę pełnej sekwencji zdarzeń bez utraty kontekstu. Narzędzie koreluje metadane procesów, linie poleceń, hashe plików wykonywalnych oraz aktywne punkty końcowe sieci w jednym, spójnym widoku, wspierając reagowanie na incydenty, analizę malware oraz bieżącą triage punktu końcowego.

Zasady projektowe:

1. Podejście baseline-first, w którym cała aktywność zaobserwowana podczas tworzenia baseline jest traktowana jako zaufany stan referencyjny.
2. Monitorowanie po baseline, które wyróżnia wyłącznie nowe lub zmienione procesy, przy jednoczesnym zachowaniu pełnej widoczności historycznej.
3. Retencja dowodowa oparta na sesji – procesy i połączenia pozostają widoczne nawet po zakończeniu, co umożliwia analizę śledczą.

Model monitorowania oparty na baseline:

1. Narzędzie działa w dwóch wyraźnie oddzielonych fazach: tworzenia baseline oraz monitorowania po baseline.
2. Dane baseline reprezentują początkowy, znany stan systemu i są wizualnie oddzielone od aktywności po baseline.
3. Monitorowanie po baseline wyróżnia wyłącznie procesy i połączenia sieciowe zaobserwowane po zakończeniu tworzenia baseline.
4. Taka architektura umożliwia szybką, wizualną identyfikację podejrzanej lub nieoczekiwanej aktywności bez konieczności wcześniejszej znajomości systemu.
5. Wszystkie dane istnieją wyłącznie w pamięci bieżącej sesji, o ile użytkownik nie zdecyduje się ich jawnie wyeksportować.

Co robi aplikacja:

1. Tworzy migawkę baseline uruchomionych procesów z wykorzystaniem natywnych mechanizmów systemu Windows (WMI oraz API systemowe).
2. Zbiera szczegółowe metadane procesów, w tym relacje rodzic-dziecko, ścieżki do plików wykonywalnych, linie poleceń oraz hashe SHA-256.
3. Monitoruje cykl życia procesów w czasie rzeczywistym, obejmujący uruchomienie i zakończenie procesu.
4. Enumeruje aktywne punkty końcowe TCP i UDP oraz koreluje je z procesami właścicielskimi na podstawie PID.
5. Śledzi historię połączeń sieciowych dla każdego procesu, w tym czas pierwszego zaobserwowania, ostatniego wystąpienia oraz moment zakończenia połączeń TCP.
6. Opcjonalnie wykonuje odwrotne rozwiązywanie DNS dla publicznych adresów IP zdalnych hostów, dostarczając podstawowego kontekstu.

Cel: Live Process Monitor Plus rozszerza model monitorowania oparty na baseline poprzez korelację natywnej telemetrii systemu Windows z opcjonalnymi danymi zdarzeń Sysmona, zapewniając głębszą widoczność osi czasu zdarzeń przy zachowaniu tego samego przepływu pracy oraz zasad interfejsu użytkownika.

Wzbogacanie danych oparte na Sysmonie (opcjonalne):

Gdy Sysmon jest zainstalowany, uruchomiony i poprawnie skonfigurowany, Live Process Monitor Plus wzbogaca dane o procesach i aktywności sieciowej o dodatkową, niskopoziomową telemetrię:

1. Koreluje zdarzenia Sysmon Event ID 1 (utworzenie procesu) z istniejącymi wierszami procesów.
2. Koreluje zdarzenia Sysmon Event ID 5 (zakończenie procesu), umożliwiając precyzyjne rejestrowanie czasu zakończenia procesu.
3. Koreluje zdarzenia Sysmon Event ID 3 (próby oraz nawiązania połączeń sieciowych) z istniejącymi lub nowo zaobserwowanymi połączeniami.
4. Wyświetla wszystkie zaobserwowane zdarzenia Sysmona (Event ID 1, 3 i 5) przypisane do danego procesu w dedykowanej kolumnie.
5. Dodaje jednoznaczne znaczniki czasu oparte na Sysmonie dla momentu utworzenia i zakończenia procesu.

Aby włączyć integrację z Sysmon w aplikacji Live Process Monitor Plus, Sysmon musi być zainstalowany, uruchomiony i skonfigurowany z użyciem odpowiedniego pliku konfiguracyjnego, który umożliwia rejestrowanie zdarzeń o identyfikatorach 1, 3 i 5.
Do automatycznej konfiguracji można wykorzystać narzędzie SysmonConfigurator.exe.

Cel: Active Endpoint Hash & IP Inspector to zestaw narzędzi Windows GUI, który łączy pięć modułów inspekcji punktu końcowego w jednej aplikacji z zakładkami. Został zaprojektowany do szybkiego tworzenia linii bazowej oraz dalszego threat huntingu poprzez połączenie lokalnej inspekcji punktu końcowego z opcjonalnym wzbogacaniem reputacyjnym przy użyciu VirusTotal oraz AbuseIPDB.

Ważna informacja – zewnętrzne API reputacyjne:

1. Aplikacja opcjonalnie integruje się z zewnętrznymi serwisami reputacyjnymi (VirusTotal oraz AbuseIPDB) w celu wzbogacenia zebranych artefaktów o kontekstową inteligencję.
2. Przy pierwszym uruchomieniu aplikacja wyświetla obowiązkowe okna informacyjne wyjaśniające limity użycia API, ograniczenia licencyjne oraz warunki dopuszczalnego użycia.
3. Użytkownicy muszą jawnie zaakceptować te informacje, aby kontynuować. Odrzucenie akceptacji uniemożliwia dalsze korzystanie z aplikacji.
4. Akceptując komunikaty, użytkownicy potwierdzają, że rozumieją obowiązujące limity API, są uprawnieni do korzystania z podanych kluczy API oraz przyjmują pełną odpowiedzialność za sposób użycia narzędzia i zintegrowanych usług.
5. Sprawdzenia reputacyjne są opcjonalne. Gdy klucze API nie zostaną podane, wszystkie moduły inspekcji pozostają w pełni funkcjonalne, a jedynie końcowe kolumny związane z reputacją pozostają niewypełnione.

Uwaga: Użytkownicy są odpowiedzialni za zapewnienie zgodności z aktualnymi Warunkami Świadczenia Usług VirusTotal oraz AbuseIPDB. Limity API, warunki licencyjne oraz polityki mogą ulegać zmianom w czasie.

Struktura aplikacji:

ActiveEndpointHashIPInspectorv1.1.exe jest główną aplikacją oraz ujednoliconym punktem wejściowym dla całego zestawu narzędzi.
Aplikacja hostuje pięć modułów inspekcji punktu końcowego w ramach pojedynczego interfejsu TabControl. Każdy moduł jest zaimplementowany jako dedykowany UserControl i osadzony jako osobna zakładka.
Sama główna aplikacja nie wykonuje logiki skanowania. Do jej obowiązków należy:

1. hostowanie i orkiestracja modułów,
2. prezentacja ujednoliconego interfejsu użytkownika,
3. wymuszanie komunikatów startowych oraz akceptacji odpowiedzialności,
4. obsługa opcjonalnego wprowadzania kluczy API dla bieżącej sesji,
5. oraz zapewnienie spójnego modelu pracy we wszystkich modułach.

Doświadczenie użytkownika:

1. Wszystkie możliwości inspekcji są dostępne w jednym zintegrowanym interfejsie GUI, co pozwala analitykom przełączać się między perspektywami punktu końcowego bez uruchamiania wielu plików wykonywalnych.
2. Każdy osadzony moduł stosuje spójny model operacyjny:
   • skanowanie zorientowane na linie bazowe,
   • możliwość pauzowania i wznawiania długotrwałych sprawdzeń reputacyjnych,
   • tryby Skip ograniczone do wykrywania nowych artefaktów w ramach danej zakładki,
   • oraz funkcje eksportu do plików CSV zaimplementowane w każdym module.
3. Aplikacja zapewnia jednolity wygląd, zachowanie oraz układ kontrolek we wszystkich modułach, aby ograniczyć obciążenie poznawcze analityka podczas prowadzonych analiz.

Podsumowanie: ActiveEndpointHashIPInspectorv1.1.exe jest warstwą nadrzędną oraz orkiestratorem pięciomodułowego zestawu narzędzi do inspekcji punktów końcowych systemu Windows. Zapewnia jeden ujednolicony interfejs użytkownika, wymusza odpowiedzialne korzystanie z API, zarządza opcjonalnymi kluczami sesyjnymi oraz osadza poszczególne moduły inspekcji jako zakładki, wspierając analizę punktów końcowych opartą na liniach bazowych oraz działania threat huntingowe.

Cel: Active SHA-256 Hash Checker to narzędzie Windows GUI zaprojektowane do szybkiego triage punktu końcowego w zakresie aktualnie uruchomionych procesów. Aplikacja enumeruje działające procesy, oblicza sumy kontrolne SHA-256 ich plików wykonywalnych na dysku oraz opcjonalnie wzbogaca te hashe o dane reputacyjne z VirusTotal w celu wsparcia tworzenia linii bazowej oraz dalszego threat huntingu.

Interfejs użytkownika i prezentowane dane:

Aplikacja wyświetla tabelę zawierającą następujące kolumny:

• PID
• Nazwa procesu (znormalizowana do postaci z rozszerzeniem .exe)
• Ścieżka procesu
• Hash SHA-256 procesu
• Podsumowanie detekcji VirusTotal

Cel: Active Public IP Checker to narzędzie Windows GUI zaprojektowane do triage sieciowego punktu końcowego. Enumeruje aktywne połączenia TCP, odfiltrowuje niepubliczne zdalne punkty końcowe, koreluje każde połączenie z procesem, który je posiada, oraz opcjonalnie wzbogaca publiczne adresy IP o dane reputacyjne z AbuseIPDB w celu wsparcia tworzenia linii bazowej oraz dalszego threat huntingu.

Interfejs użytkownika i prezentowane dane:

Aplikacja wyświetla tabelę aktualizowaną na bieżąco z następującymi kolumnami:

• Publiczny adres IP
• Lokalizacja IP
• Port źródłowy
• Port docelowy
• Protokół
• Stan połączenia
• PID
• Nazwa procesu
• Ścieżka procesu
• Podsumowanie reputacji AbuseIPDB

Cel: Service Hash Checker to narzędzie Windows GUI zaprojektowane do triage punktu końcowego w oparciu o usługi systemowe. Inwentaryzuje usługi systemu Windows, wyodrębnia ścieżki plików wykonywalnych i linie poleceń, oblicza sumy kontrolne SHA-256 binariów usług na dysku oraz opcjonalnie wzbogaca te hashe o podsumowania detekcji VirusTotal, wspierając tworzenie linii bazowej oraz threat hunting ukierunkowany na mechanizmy persystencji systemowej.

Interfejs użytkownika i prezentowane dane:

Aplikacja wyświetla tabelę aktualizowaną na bieżąco z następującymi kolumnami:

• Nazwa usługi
• Status
• Typ uruchamiania
• Ścieżka pliku wykonywalnego
• Nazwa pliku wykonywalnego
• Linia poleceń pliku wykonywalnego
• Hash SHA-256 pliku wykonywalnego
• Podsumowanie detekcji VirusTotal

Cel: Scheduled Task Hash Checker to narzędzie Windows GUI zaprojektowane do analizy persystencji systemowej oraz threat huntingu ukierunkowanego na Zaplanowane zadania systemu Windows. Aplikacja enumeruje zaplanowane zadania, rozwija je do poziomu pojedynczych akcji, oblicza sumy kontrolne SHA-256 plików wykonywalnych akcji oraz opcjonalnie wzbogaca te hashe o podsumowania detekcji VirusTotal, wspierając tworzenie linii bazowej i wykrywanie nowo wprowadzonych mechanizmów persystencji systemowej.

Interfejs użytkownika i prezentowane dane:

Aplikacja wyświetla tabelę aktualizowaną na bieżąco z następującymi kolumnami:

• Nazwa zaplanowanego zadania
• Wyzwalacze zadania
• Typ akcji zadania
• Ścieżka pliku akcji
• Nazwa pliku akcji
• Linia poleceń akcji
• Hash SHA-256 pliku akcji
• Podsumowanie detekcji VirusTotal

Cel: Autostart Hash Checker to narzędzie Windows GUI zaprojektowane do triage mechanizmów persystencji systemowej oraz threat huntingu. Agreguje ono typowe mechanizmy autostartu systemu Windows, rozwiązuje pliki wykonywalne stojące za poszczególnymi wpisami, oblicza sumy kontrolne SHA-256 tych plików oraz opcjonalnie wzbogaca wyniki o podsumowania detekcji z VirusTotal, wspierając tworzenie linii bazowej i wykrywanie nowo wprowadzonych mechanizmów persystencji systemowej.

Interfejs użytkownika i prezentowane dane:

Aplikacja wyświetla tabelę aktualizowaną na bieżąco z następującymi kolumnami:

• Metoda persystencji systemowej
• Lokalizacja źródła
• Wyzwalacz uruchomienia
• Zakres
• Ścieżka docelowa
• Nazwa wpisu lub pliku
• Szczegóły (np. linia poleceń)
• Hash SHA-256 celu
• Podsumowanie detekcji VirusTotal

Cel: narzędzie Windows przeznaczone dla laboratoriów SOC oraz kontrolowanych środowisk testowych, służące do wyłączania 16 komponentów Windows Defender (9 funkcjonalnych mechanizmów ochrony oraz 7 usług i sterowników) w celu wsparcia badań nad malware, inżynierii detekcji oraz szkoleń blue team.

Ważna informacja:

1. Narzędzie modyfikuje krytyczną konfigurację zabezpieczeń Windows Defender poprzez egzekwowanie ustawień na poziomie rejestru oraz usług, przeznaczone wyłącznie dla izolowanych laboratoriów SOC i kontrolowanych środowisk testowych.
2. Niewłaściwe użycie w środowisku produkcyjnym, sieci korporacyjnej lub systemie niezarządzanym może znacząco obniżyć poziom bezpieczeństwa systemu, narazić host na złośliwe oprogramowanie lub naruszyć wewnętrzne polityki bezpieczeństwa organizacji.
3. Uruchomienie narzędzia musi być wyraźnie zatwierdzone przez właściciela systemu lub uprawnionego administratora. Użycie bez odpowiedniej autoryzacji lub poza kontrolowanymi scenariuszami testowymi jest zdecydowanie niewskazane.
4. Obsługa narzędzia wymaga pełnego zrozumienia jego wpływu oraz pełnej odpowiedzialności za jego użycie.
5. Narzędzie nigdy nie powinno być wdrażane na systemach produkcyjnych, stacjach roboczych użytkowników końcowych ani w środowiskach, w których mechanizmy ochronne muszą pozostać aktywne.

Funkcjonalność aplikacji:

1. działa jako narzędzie Windows przeznaczone dla izolowanych środowisk laboratoryjnych i wymaga uprawnień administratora;
2. wyłącza Windows Defender poprzez zastosowanie zmian w rejestrze na poziomie polityk, wpływających na 9 funkcjonalnych mechanizmów ochrony, w tym ochronę w czasie rzeczywistym, monitorowanie zachowań, raportowanie do chmury, mechanizmy skanowania oraz funkcje Exploit Guard;
3. wyłącza 7 usług i sterowników powiązanych z Defenderem poprzez modyfikację ich konfiguracji uruchamiania na poziomie systemu;
4. zapewnia trwałość stanu wyłączenia poprzez utworzenie i uruchamianie zadania Harmonogramu zadań działającego w kontekście SYSTEM z wieloma wyzwalaczami, w tym podczas startu systemu, logowania użytkownika oraz cyklicznego wykonywania, aby zapobiec automatycznemu ponownemu włączeniu Windows Defendera po upływie czasu;
5. kopiuje się do stałej lokalizacji systemowej i uruchamia się z niej w celu zapewnienia spójnego wykonywania zadania;
6. zapisuje pojedynczy wpis z sygnatura czasowa przy kazdym uruchomieniu, w tym podczas uruchomien przy starcie systemu, przy logowaniu uzytkownika oraz wielokrotnie w ciagu doby (osobne wyzwalacze czasowe – praktycznie co godzine), do wspoldzielonego pliku dziennika, rejestrujac operacje wylaczania Windows Defendera i zapewniajac prosty slad audytowy;
7. wyświetla informacyjne okno dialogowe wyłącznie przy pierwszym uruchomieniu, gdy zadanie Harmonogramu zostaje utworzone.

Cel: narzędzie Windows przeznaczone dla laboratoriów SOC oraz kontrolowanych środowisk testowych, służące do włączania 16 komponentów Windows Defender (9 funkcjonalnych mechanizmów ochrony oraz 7 usług i sterowników) w celu wsparcia badań nad złośliwym oprogramowaniem, inżynierii detekcji oraz szkoleń zespołów obronnych typu Blue Team.

Funkcjonalność aplikacji:

1. działa jako narzędzie Windows przeznaczone do przywracania funkcjonalności Windows Defender w środowiskach laboratoryjnych i wymaga uprawnień administratora;
2. usuwa wartości rejestru na poziomie polityk, które były wykorzystywane do wyłączenia funkcjonalnych mechanizmów ochrony Defendera;
3. przywraca konfigurację uruchamiania usług i sterowników powiązanych z Defenderem, ponownie ustawiając je w domyślnym trybie automatycznym;
4. usuwa zadanie Harmonogramu zadań odpowiedzialne za wymuszanie trwałości stanu wyłączenia Defendera;
5. zapisuje pojedynczy wpis z sygnaturą czasową przy każdym uruchomieniu do tego samego współdzielonego pliku dziennika, który jest używany przez narzędzie wyłączające, jednoznacznie wskazując, że Windows Defender został włączony oraz zachowując ciągłość audytu;
6. wyświetla informacyjne okno dialogowe wyłącznie wtedy, gdy zadanie Harmonogramu zadań odpowiedzialne za wyłączenie Defendera istniało i zostało pomyślnie usunięte.

Cel: narzędzie Windows przeznaczone dla laboratoriów SOC oraz środowisk testowych o kontrolowanym dostępie, zapewniające automatyczną konfigurację logowania kluczy TLS na potrzeby analizy zaszyfrowanego ruchu webowego.

Ważna informacja:

1. Narzędzie konfiguruje logowanie kluczy TLS oraz preferencje Wireshark, umożliwiając deszyfrowanie i inspekcję zaszyfrowanego ruchu webowego do celów analitycznych.
2. W przypadku niewłaściwego użycia logowanie kluczy TLS może umożliwić deszyfrowanie i wgląd w wrażliwe lub prywatne komunikacje, co może naruszać prywatność, poufność lub wewnętrzne polityki bezpieczeństwa organizacji.
3. Uruchomienie narzędzia musi być wyraźnie zatwierdzone przez właściciela systemu lub uprawnionego administratora, a jego użycie musi być zgodne z obowiązującym prawem, politykami wewnętrznymi oraz zakresem udzielonej autoryzacji.
4. Narzędzie jest przeznaczone wyłącznie do laboratoriów SOC, kontrolowanych środowisk testowych oraz autoryzowanych scenariuszy o charakterze śledczym lub szkoleniowym.
5. Użycie narzędzia wymaga pełnego zrozumienia jego wpływu oraz pełnej odpowiedzialności za jego zastosowanie, w szczególności podczas pracy z odszyfrowanym ruchem sieciowym.

Wymaganie wstępne:

1. Wireshark musi być zainstalowany w systemie, aby deszyfrowanie ruchu TLS było możliwe; narzędzie konfiguruje logowanie kluczy TLS oraz preferencje Wireshark, lecz nie instaluje samego narzędzia Wireshark.

Funkcjonalność aplikacji:

1. działa jako aplikacja konsolowa wykonująca konfigurację logowania kluczy TLS w zakresie konta użytkownika oraz aktualizacje preferencji Wireshark; zalecane jest uruchamianie narzędzia z uprawnieniami administratora w celu zapewnienia poprawnego ustawienia Execution Policy dla bieżącego procesu;
2. automatyzuje konfigurację logowania kluczy TLS w systemie Windows poprzez utworzenie dedykowanego katalogu i pliku z kluczami oraz skonfigurowanie zmiennej środowiskowej SSLKEYLOGFILE w zakresie użytkownika;
3. aktualizuje preferencje Wireshark w celu umożliwienia deszyfrowania sesji TLS przy użyciu skonfigurowanego pliku z kluczami;
4. udostępnia szczegółowy widok stanu obejmujący wykrycie instalacji Wireshark, istnienie i rozmiar pliku z kluczami (bajty, KB, MB), stan zmiennych środowiskowych (użytkownika i sesji) oraz status konfiguracji TLS w Wireshark;
5. obsługuje tryb bezpiecznej konfiguracji (bez nadpisywania) oraz tryby wymuszone, z opcjonalnym tworzeniem kopii zapasowych istniejących plików z kluczami i łagodną obsługą zablokowanych plików;
6. zapisuje wszystkie działania do pliku transkrypcji przechowywanego na pulpicie użytkownika, umożliwiając audyt oraz powtarzalność czynności w środowiskach śledczych oraz szkoleniowych typu SOC.

Cel: Ten skrypt nieprzerwanie monitoruje określony plik w poszukiwaniu zmian i kopiuje go na pulpit użytkownika, gdy wystąpią modyfikacje.

Licencja: Darmowa do użytku osobistego i komercyjnego.

Cel: Ten skrypt jest zaprojektowany do monitorowania określonego katalogu w poszukiwaniu zmian i nieprzerwanego kopiowania jego zawartości do innego katalogu.

Licencja: Darmowa do użytku osobistego i komercyjnego.

Cel: Skrypt monitoruje określony katalog w poszukiwaniu zmian w systemie plików, rejestrując je i dostarczając powiadomienia w czasie rzeczywistym.

Licencja: Darmowa do użytku osobistego i komercyjnego.

Cel: Skrypt monitoruje określony katalog w poszukiwaniu zmian w systemie plików, rejestrując je i dostarczając powiadomienia w czasie rzeczywistym.

Licencja: Darmowa do użytku osobistego i komercyjnego.

Cel: Zaawansowany write blocker USB (narzędzie uniemożliwiające zapis danych na nośnikach USB w celu ochrony ich oryginalnej zawartości) z funkcją audytowania i modułem edukacyjnym, umożliwiający włączanie, wyłączanie i monitorowanie mechanizmu Write Protection oraz rekomendujący prawidłowe metody akwizycji i zabezpieczania dowodów cyfrowych.

Licencja: Darmowa do użytku osobistego i komercyjnego.