Видео оставило много вопросов, ▶️ Зачем они переименовывали PowerShell? Чтобы не вызывать подозрение, что запущено одновременно несколько копий? ▶️ Зачем обфусцировать код, ведь три раза завернули, но развернуть ведь просто. Чтобы антивирусы не обнаруживали? ▶️ Зачем осуществлять поиск по 192.168. * сетке, если её нет на компе? А вам что осталось непонятно?

Годное видео! Спасибо за проделанную работу!

Забавный момент: автором pingcastle является Винсент Ле Ту, друг и партнер по некоторым проектам разработки всем известного Бенджамина Делпи (gentilkiwi), который, в свою очередь, является автором mimikatz :)

Павел, а какой софт посоветуешь для ежедневного отчёта о создании новых учётных записей в AD?

Павел, я по одному из твоих советов начал пользоваться OneNote для хранения знаний. Поделись опытом, пожалуйста. Как организовать структуру? Как быстро интересные веб страницы сохранять себе в OneNote? Сколько книг завести?

Skycmd - интересно CLI к one drive

Полезно! Можно скриптом Sheduled.ps1 поделиться?

я поставил мартовские обновления на следующий день после их выхода, прогнал скрипт testproxlogon - сказал всё чисто, 26 апреля сработал мониторинг на сервере по процессору, работал процесс cmd.exe от имени SYSTEM, в этот момент выскочило окно со свежими обновлениями, в тч для exchange (CVE-2021-28480,CVE-2021-28483,CVE-2021-28482, CVE-2021-28481) после установки обнов и перезагрузки появилось окно WMRT об успешном удалении 3х бэкдор-чопперов с разными индексами и одним exploit:ASP/CVE-2021-27065, сегодня мониторинг по процессору сработал ещё раз....drweb-cureit нашёл то же самое, попросил перезагрузки для удаления.... в task`ах кстати было пусто, смотрел вашим ps-скриптом, все задачи родные ах,да... думал кто-то поможет в чатике с котами, там посмеялись, назвали боянистом и посоветовали посмотреть ваше видео и поставить мартовские обновления) и не запускать майнеры в проде)

чат забавный: весь в гифках, котах и посыланием людей в гугл)

Говорят, что похоже на эту штуку vms.drweb.ru/virus/?i=21387793&lng=ru