Tutoriales

Ejecute el script Cobalt Strike Aggressor del sistema

exploración del registro es un script de Cobalt Strike Aggressor que ejecuta System/AV/EDR Recon.

describir

Como practicantes del equipo rojo, a menudo usamos herramientas para tratar de identificar los detalles de un sistema infectado, preferiblemente de la manera más sigilosa posible. Algunas de las herramientas comunes que usamos para esto están comenzando a ser marcadas por los productos EDR gracias al uso de los comandos de la CLI de Windows. Este script de atacante está diseñado para resolver el problema al sondear el sistema utilizando solo consultas de registro nativas en lugar de comandos CLI.

configurar

solo carga reg.cna Use el administrador de secuencias de comandos para ingresar a Cobalt Strike.Luego haga clic derecho en la baliza donde desea ejecutar el reconocimiento del registro y seleccione Registry Entonces Recon, o entrar regenum Entra en la consola de baliza.

¿Como funciona esto?

Principalmente usando Cobalt Strike breg_query y breg_queryv funcionesEntonces, todas las salidas de baliza son secuestradas beacon_output, buscando un valor específico. Cuando se hace una coincidencia positiva, la salida se resaltará en la salida de la baliza.Como no hay beacon_output_reg o algo así, como beacon_output_ls y beacon_output_ps, todos los resultados deben capturarse para el análisis.

¿Qué sucede si no se detecta mi producto AV/EDR? / ¿Cómo puedo ayudar?

Esto es de esperar. No podemos probar todas las soluciones AV/EDR y sabemos que faltarán muchas. Puede ayudarnos enviando un problema de GitHub con la siguiente información:

  • Si esta es la entrada del sistema/AV/EDR
  • nombre del producto
  • Claves de registro relevantes que se pueden usar para identificar productos de manera positiva

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba