MaLDAPtive es un marco para el análisis, ofuscación, desofuscación y detección de LDAP SearchFilter.
La base es un analizador LDAP de C# 100% personalizado que maneja la tokenización y el análisis del árbol de sintaxis, así como numerosos atributos personalizados, lo que permite la ofuscación, desofuscación y detección precisas y eficientes de los filtros de búsqueda LDAP.
El resto del proyecto es un contenedor de PowerShell diseñado para brindar máxima flexibilidad, aleatoriedad y capacidades de canalización para conectar sin problemas todas las funciones requeridas en un solo comando.
Tabla de Contenidos
Detalles de lanzamiento
Como mantenedores, queríamos publicar la información y el marco de manera responsable desde el comienzo de esta investigación y decidimos hacerlo en dos fases.
Esta decisión no la tomaron otros sino nosotros, y dejamos claro este enfoque en dos etapas en nuestra presentación de la PPC.
Por lo tanto, en la versión inicial de este estudio, publicaremos todo el código excepto el módulo de ofuscación.
En al menos 4 meses publicaremos el módulo de ofuscación y la segunda parte de este estudio (la fecha exacta se determinará, según la presentación pendiente de la CFP).
Nuestra intención es brindarles a los defensores unos meses de ventaja para configurar la telemetría LDAP SearchRequest requerida e implementar el conjunto completo de reglas de detección que publicamos en esta investigación.
Nombre del módulo | fecha de lanzamiento |
---|---|
analizador LDAP | 2024-08-07 |
Módulo anti-ofuscación | 2024-08-07 |
Módulo de detección | 2024-08-07 |
Conjunto de reglas de detección | 2024-08-07 |
Módulo de telemetría | 2024-08-07 |
corpus ofuscado | 2024-08-07 |
módulo de ofuscación | Liberación deliberadamente retrasada |
Instalar
Import-Module ./Maldaptive.psd1
Paquetes requeridos
PowerShell 7.1
.NET 6.0 (LTS)
uso
Está diseñado para facilitar la exploración de todas las funciones disponibles y aplica resaltado de colores para amplificar los detalles importantes devueltos por cada función.
También hay algún arte ASCII animado especial en esta función, por lo que recomendamos probarlo primero.
La exploración del menú admite expresiones regulares completas y comodines básicos, con opciones especiales de recorrido automático del menú definidas por **
, ***
y ****
Orden. siempre puedes entrar HELP
o TUTORIAL
para obtener más orientación.
En cualquier momento, se pueden ver, copiar o exportar completamente los detalles completos de cada capa de ofuscación o desofuscación desde el menú interactivo.
MaLDAPtive también muestra compatibilidad completa con CLI en el mismo menú, por lo que el modo interactivo se puede utilizar para «crear recetas de ofuscación» y se puede exportar fácilmente a comandos simples de 1 línea.
Para obtener más información, haga clic aquí.