PsExec ist ein Kommandozeilen-Werkzeug aus der Microsoft Sysinternals-Suite, das die Ausführung von Befehlen auf entfernten Windows-Systemen ermöglicht. Administratoren nutzen es für Remote-Wartung und -Diagnose. Angreifer verwenden PsExec häufig für Lateral Movement innerhalb eines kompromittierten Netzwerks, da es auf vielen Windows-Systemen verfügbar ist und keine zusätzliche Software erfordert. PsExec überträgt Befehle über SMB-Freigaben und erstellt temporäre Dienste auf dem Zielsystem. In Deinem SIEM solltest Du die Erstellung unerwarteter Dienste und die Nutzung von PsExec überwachen. Beschränke den SMB-Zugriff zwischen Workstations, um die Ausnutzung einzuschränken.