Tutoriales

Herramientas para ayudar a automatizar los mecanismos de persistencia comunes

pegarse al convertidor es una herramienta para ayudar a automatizar los mecanismos de persistencia comunes. Actualmente es compatible con Print Monitor (SISTEMA), Proveedor de hora (Servicio de red), Secuestro de acceso directo de carpeta de inicio (Usuario), Carpeta de unión (Usuario)

uso

Clone, ejecute make y agregue el .cna al cliente Cobalt Strike.

Ejecutar: Help Stick to Ice en CS Console

sintaxis:

  • pegarse al hielo [PrintMon, TimeProv, Shortcut, Junction] [persist or clean] [key/folder name] [dll / lnk exe name];

Resumen técnico

Todas estas técnicas se basan en archivos Dll colocados individualmente en el disco. No es intencionalmente parte del BOF.

monitor de impresión

Las DLL deben estar en el disco y en algún lugar de la RUTA (orden de búsqueda de DLL) Antes de ejecutar BOFDe lo contrario fallará. voluntad Instantáneamente Cargado por spoolsv.exe como SISTEMA. Esto se puede usar para la promoción de administrador al sistema, así como para la persistencia. se ejecutará al iniciar el sistema. Debe estar elevado para operar.

  • Demo Print Monitor Dll en el proyecto

ejemplo:

  • Cargue NotMalware.dll en C:\Windows\NotMalware.dll
  • Stick Bing PrintMon Stick TotesLegitMonitor NotMalware.dll
  • Ejecutar inmediatamente como SISTEMA
  • se ejecutará al inicio hasta que se elimine
  • persist-ice PrintMon clean TotesLegitMonitor C:\Windows\NotMalware.dll > eliminará la clave de registro y desinstalará el dll, luego intentará eliminar el dll si se proporciona la ruta correcta. Deberia trabajar.

proveedor de tiempo

Cargado al inicio por svchost.exe como un SERVICIO DE RED después de ejecutar BOF (¡prepara tus papas!). Debe estar elevado para operar.

  • Demo Time Provider Dll en el proyecto

ejemplo:

  • Apéguese a Ice TimeProv Apéguese a TotesLegitTimeProvider C:\anywhere\NotMalware.dll
  • persist-ice TimeProv cleanup TotesLegitTimeProvider C:\anywhere\NotMalware.dll > Si se proporciona la ruta correcta, se eliminará la clave de registro y se intentará eliminar el dll. Podría fallar porque el proceso no descargó el dll.

carpeta de conexión

La misma técnica que se demostró en la fuga del Refugio 7. Se ejecuta cuando el usuario inicia sesión. No elevado. DLL se cargará en explorer.exe

ejemplo:

  • Stick Freeze Stick TotesLegitFolder C:\user-writable-folder\NotMalware.dll Guardar CLSID
  • persist-ice Juction clean TotesLegitFolder C:\user-writable-folder\NotMalware.dll 6be5e092-90cc-452d-be83-208029e259e0 > eliminará la clave de registro, se unirá a la carpeta e intentará eliminar el dll.

Secuestro de carpeta de inicio

Cree una nueva carpeta en la que el usuario pueda escribir, copie en ella los archivos binarios secuestrables de Windows y cree un acceso directo en la carpeta de inicio. Se ejecuta cuando el usuario inicia sesión. No elevado.

ejemplo:

  • persist-ice Shortcut persist C:\TotesLegitFolder C:\Windows\System32\Dism.exe > cargue su Dll como proxy dll a dismcore.dll a C:\TotesLegitFolder
  • persist-ice Shortcut persist C:\TotesLegitFolder C:\Windows\System32\Dism.exe > intentará eliminar todos los archivos en la nueva carpeta y luego eliminará la carpeta misma. Esto fallará si la DLL todavía está cargada en el proceso.

LEER  Actualice una instancia existente de Ubuntu LTS a Ubuntu Pro en AWS

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba