Koadic, ou COM Command & Control, é um rootkit pós-exploração do Windows semelhante a outras ferramentas de teste de penetração, como o Meterpreter e o Powershell Empire. A principal diferença é que o Koadic faz a maioria de suas operações usando o Windows Script Host (também conhecido como JScript / VBScript), com compatibilidade no núcleo para suportar uma instalação padrão do Windows 2000 sem pacotes de serviço (e potencialmente versões pares do NT4) todo o caminho através do Windows 10.
É possível servir as cargas úteis completamente na memória do estágio 0 para além, além de usar comunicações criptográficamente seguras em SSL e TLS (dependendo do que o sistema operacional da vítima tenha ativado).
O Koadic também tenta ser compatível com Python 2 e Python 3.
Demo
Stagers
Stagers ganha zombis alvo e permite que você use implantes.
Implantes Os
implantes iniciam trabalhos em zumbis.
Disclaimer As
amostras de código são fornecidas para fins educacionais. Defensas adequadas só podem ser construídas pesquisando técnicas de ataque disponíveis para atores mal-intencionados. O uso desse código contra sistemas alvo sem autorização prévia é ilegal na maioria das jurisdições. Os autores não são responsáveis por quaisquer danos por uso incorreto desta informação ou código.
- Ganchos em zumbi
- Eleva a integridade (bypass UAC)
- Dumps SAM / SECURITY hive para senhas
- Digitaliza a rede local para SMB aberto
- Pivotes para outra máquina
Stagers
Stagers ganha zombis alvo e permite que você use implantes.
Módulo | Descrição |
---|---|
stager / js / mshta | serve as cargas úteis na memória usando aplicativos HTML MSHTA.exe |
stager / js / regsvr | serve as cargas úteis na memória usando regsvr32.exe COM + scriptlets |
stager / js / rundll32_js | serve as cargas úteis na memória usando rundll32.exe |
stager / js / disk | serve as cargas úteis usando arquivos no disco |
Implantes Os
implantes iniciam trabalhos em zumbis.
Módulo | Descrição |
---|---|
implante / elevar / bypassuac_eventvwr | Usa o evento eventvwr.exe do enigma0x3 para ignorar o UAC no Windows 7, 8 e 10. |
implante / elevar / bypassuac_sdclt | Usa o sdclt.exe do enigma0x3 para explorar UAC no Windows 10. |
implante / diversão / zumbi | Maxes volume e abre The Cranberries YouTube em uma janela oculta. |
implante / diversão / voz | Reproduz uma mensagem sobre o texto para a fala. |
implante / recolha / prancheta | Recupera o conteúdo atual da área de transferência do usuário. |
implant / gather / hashdump_sam | Recupera senhas hash da ramificação SAM. |
implantar / reunir / hashdump_dc | Controlador de domínio hashes do arquivo NTDS.dit. |
implante / injeção / mimikatz_dynwrapx | Injeta uma DLL carregada por reflexão para executar o powerkatz.dll (usando o Dynrax Wrapper X). |
implante / injeção / mimikatz_dotnet2js | Injeta uma DLL com capacidade de reflexão para executar powerkatz.dll (@tirannido DotNetToJS). |
implante / injeção / shellcode_excel | Executa a carga útil arbitrária do shellcode (se o Excel estiver instalado). |
implantar / gerenciar / habilitar_rdesktop | Permite a área de trabalho remota no alvo. |
implant / manage / exec_cmd | Execute um comando arbitrário no alvo e, opcionalmente, receba a saída. |
implante / pivô / stage_wmi | Agarra um zumbi em outra máquina usando WMI. |
implante / pivô / exec_psexec | Execute um comando em outra máquina usando psexec de sysinternals. |
implante / varredura / tcp | Usa HTTP para escanear portas TCP abertas na rede zumbi de destino. |
implante / utils / download_file | Descarrega um arquivo do zumbi alvo. |
implante / utils / upload_file | Carrega um arquivo do servidor de escuta para os zumbis de destino. |
Disclaimer As
amostras de código são fornecidas para fins educacionais. Defensas adequadas só podem ser construídas pesquisando técnicas de ataque disponíveis para atores mal-intencionados. O uso desse código contra sistemas alvo sem autorização prévia é ilegal na maioria das jurisdições. Os autores não são responsáveis por quaisquer danos por uso incorreto desta informação ou código.