ANDROID

[ANDROID][bsummary]

FACEBOOK

[FACEBOOK][twocolumns]

NOTÍCIAS

[NOTÍCIAS][bleft]

KALI LINUX

[KALI LINUX][grids]

Koadic - COM Command & Control Framework (JScript RAT)

Koadic - COM Command & Control Framework (JScript RAT)

Koadic, ou COM Command & Control, é um rootkit pós-exploração do Windows semelhante a outras ferramentas de teste de penetração, como o Meterpreter e o Powershell Empire. A principal diferença é que o Koadic faz a maioria de suas operações usando o Windows Script Host (também conhecido como JScript / VBScript), com compatibilidade no núcleo para suportar uma instalação padrão do Windows 2000 sem pacotes de serviço (e potencialmente versões pares do NT4) todo o caminho através do Windows 10.
É possível servir as cargas úteis completamente na memória do estágio 0 para além, além de usar comunicações criptográficamente seguras em SSL e TLS (dependendo do que o sistema operacional da vítima tenha ativado).

O Koadic também tenta ser compatível com Python 2 e Python 3.

Demo

  1. Ganchos em zumbi
  2. Eleva a integridade (bypass UAC)
  3. Dumps SAM / SECURITY hive para senhas
  4. Digitaliza a rede local para SMB aberto
  5. Pivotes para outra máquina

Stagers
Stagers ganha zombis alvo e permite que você use implantes.
MóduloDescrição
stager / js / mshtaserve as cargas úteis na memória usando aplicativos HTML MSHTA.exe
stager / js / regsvrserve as cargas úteis na memória usando regsvr32.exe COM + scriptlets
stager / js / rundll32_jsserve as cargas úteis na memória usando rundll32.exe
stager / js / diskserve as cargas úteis usando arquivos no disco

Implantes Os
implantes iniciam trabalhos em zumbis.
MóduloDescrição
implante / elevar / bypassuac_eventvwrUsa o evento eventvwr.exe do enigma0x3 para ignorar o UAC no Windows 7, 8 e 10.
implante / elevar / bypassuac_sdcltUsa o sdclt.exe do enigma0x3 para explorar UAC no Windows 10.
implante / diversão / zumbiMaxes volume e abre The Cranberries YouTube em uma janela oculta.
implante / diversão / vozReproduz uma mensagem sobre o texto para a fala.
implante / recolha / pranchetaRecupera o conteúdo atual da área de transferência do usuário.
implant / gather / hashdump_samRecupera senhas hash da ramificação SAM.
implantar / reunir / hashdump_dcControlador de domínio hashes do arquivo NTDS.dit.
implante / injeção / mimikatz_dynwrapxInjeta uma DLL carregada por reflexão para executar o powerkatz.dll (usando o Dynrax Wrapper X).
implante / injeção / mimikatz_dotnet2jsInjeta uma DLL com capacidade de reflexão para executar powerkatz.dll (@tirannido DotNetToJS).
implante / injeção / shellcode_excelExecuta a carga útil arbitrária do shellcode (se o Excel estiver instalado).
implantar / gerenciar / habilitar_rdesktopPermite a área de trabalho remota no alvo.
implant / manage / exec_cmdExecute um comando arbitrário no alvo e, opcionalmente, receba a saída.
implante / pivô / stage_wmiAgarra um zumbi em outra máquina usando WMI.
implante / pivô / exec_psexecExecute um comando em outra máquina usando psexec de sysinternals.
implante / varredura / tcpUsa HTTP para escanear portas TCP abertas na rede zumbi de destino.
implante / utils / download_fileDescarrega um arquivo do zumbi alvo.
implante / utils / upload_fileCarrega um arquivo do servidor de escuta para os zumbis de destino.

Disclaimer As
amostras de código são fornecidas para fins educacionais. Defensas adequadas só podem ser construídas pesquisando técnicas de ataque disponíveis para atores mal-intencionados. O uso desse código contra sistemas alvo sem autorização prévia é ilegal na maioria das jurisdições. Os autores não são responsáveis ​​por quaisquer danos por uso incorreto desta informação ou código. 



0 comentários via Blogger
comentários via Facebook

Nenhum comentário :