
pegarse al convertidor es una herramienta para ayudar a automatizar los mecanismos de persistencia comunes. Actualmente es compatible con Print Monitor (SISTEMA), Proveedor de hora (Servicio de red), Secuestro de acceso directo de carpeta de inicio (Usuario), Carpeta de unión (Usuario)
uso
Clone, ejecute make y agregue el .cna al cliente Cobalt Strike.
Ejecutar: Help Stick to Ice en CS Console
sintaxis:
- pegarse al hielo [PrintMon, TimeProv, Shortcut, Junction] [persist or clean] [key/folder name] [dll / lnk exe name];
Resumen técnico
Todas estas técnicas se basan en archivos Dll colocados individualmente en el disco. No es intencionalmente parte del BOF.
monitor de impresión
Las DLL deben estar en el disco y en algún lugar de la RUTA (orden de búsqueda de DLL) Antes de ejecutar BOFDe lo contrario fallará. voluntad Instantáneamente Cargado por spoolsv.exe como SISTEMA. Esto se puede usar para la promoción de administrador al sistema, así como para la persistencia. se ejecutará al iniciar el sistema. Debe estar elevado para operar.
- Demo Print Monitor Dll en el proyecto
ejemplo:
- Cargue NotMalware.dll en C:\Windows\NotMalware.dll
- Stick Bing PrintMon Stick TotesLegitMonitor NotMalware.dll
- Ejecutar inmediatamente como SISTEMA
- se ejecutará al inicio hasta que se elimine
- persist-ice PrintMon clean TotesLegitMonitor C:\Windows\NotMalware.dll > eliminará la clave de registro y desinstalará el dll, luego intentará eliminar el dll si se proporciona la ruta correcta. Deberia trabajar.
proveedor de tiempo
Cargado al inicio por svchost.exe como un SERVICIO DE RED después de ejecutar BOF (¡prepara tus papas!). Debe estar elevado para operar.
- Demo Time Provider Dll en el proyecto
ejemplo:
- Apéguese a Ice TimeProv Apéguese a TotesLegitTimeProvider C:\anywhere\NotMalware.dll
- persist-ice TimeProv cleanup TotesLegitTimeProvider C:\anywhere\NotMalware.dll > Si se proporciona la ruta correcta, se eliminará la clave de registro y se intentará eliminar el dll. Podría fallar porque el proceso no descargó el dll.
carpeta de conexión
La misma técnica que se demostró en la fuga del Refugio 7. Se ejecuta cuando el usuario inicia sesión. No elevado. DLL se cargará en explorer.exe
ejemplo:
- Stick Freeze Stick TotesLegitFolder C:\user-writable-folder\NotMalware.dll Guardar CLSID
- persist-ice Juction clean TotesLegitFolder C:\user-writable-folder\NotMalware.dll 6be5e092-90cc-452d-be83-208029e259e0 > eliminará la clave de registro, se unirá a la carpeta e intentará eliminar el dll.
Secuestro de carpeta de inicio
Cree una nueva carpeta en la que el usuario pueda escribir, copie en ella los archivos binarios secuestrables de Windows y cree un acceso directo en la carpeta de inicio. Se ejecuta cuando el usuario inicia sesión. No elevado.
ejemplo:
- persist-ice Shortcut persist C:\TotesLegitFolder C:\Windows\System32\Dism.exe > cargue su Dll como proxy dll a dismcore.dll a C:\TotesLegitFolder
- persist-ice Shortcut persist C:\TotesLegitFolder C:\Windows\System32\Dism.exe > intentará eliminar todos los archivos en la nueva carpeta y luego eliminará la carpeta misma. Esto fallará si la DLL todavía está cargada en el proceso.