Cosa fa#
Fornisce una guida rapida ai comandi da CMD/PowerShell per identificare tracce di compromissione su sistemi Windows durante la fase di Identification.
Analisi Processi e Servizi#
| Comando | Obiettivo | Perché è utile |
|---|---|---|
tasklist | Elenco processi attivi | Vedere nomi processi e PID. |
tasklist /svc | Processi + Servizi associati | Identificare malware che si maschera da svchost.exe. |
wmic process list full | Dettagli completi processi | Vedere il percorso del file .exe (scovare eseguibili in /temp). |
taskkill /F /PID [ID] | Terminazione forzata | Fermare un processo malevolo immediatamente. |
Persistenza e Auto-avvio#
Gli attaccanti cercano di sopravvivere ai riavvii (Persistence).
| Comando / Tool | Cosa cercare |
|---|---|
wmic startup list full | Programmi avviati al boot. |
schtasks | Task pianificati (cercare nomi strani o orari notturni). |
msconfig | Configurazioni di boot e servizi. |
regedit | Chiavi: HKLM\Software\Microsoft\Windows\CurrentVersion\Run. |
Analisi Rete#
| Comando | Obiettivo |
|---|---|
netstat -nao | Connessioni attive con PID (fondamentale per mappare processo -> rete). |
nbtstat -S | Attività NetBIOS over TCP/IP. |
ipconfig /displaydns | Cache DNS (vedere quali siti ha contattato il malware). |
Analisi Utenti e Permessi#
| Comando | Obiettivo Blue Team |
|---|---|
net user | Elenco utenti locali (cercare nuovi account non autorizzati). |
net localgroup administrators | Verificare chi ha privilegi di Admin (Privilege Escalation). |
lusrmgr.msc | Interfaccia grafica per gestione utenti e gruppi. |
Event Viewer (La Scatola Nera)#
Accessibile con eventvwr.msc.
- Log Mancanti: Se ci sono lacune temporali, l'attaccante ha cancellato i log.
- Event ID Critici:
4624: Logon riuscito.4625: Logon fallito (Brute Force).4720: Nuovo utente creato.4688: Nuovo processo creato (se attivato auditing).
Scenario Reale#
Ricevi un alert di traffico sospetto da una workstation Windows.
- Esegui
netstat -naoe trovi una connessione sulla porta 4444 collegata al PID 1234. - Esegui
wmic process where processid=1234 get executablepathe scopri che l'eseguibile è inC:\Users\Public\svchost.exe. - Noti che il percorso è sbagliato (svchost deve stare in
System32). - Uccidi il processo con
taskkill /F /PID 1234e isoli la macchina.
Collegato a#
- system — Hub Categoria
- incident-response-lifecycle — Fase di Identification
- soc-tiers — Strumenti per Tier 1/2
