Tutoriales

Una herramienta que se puede utilizar en la fase de post-explotación.

Evasor es una aparejo de evaluación de seguridad automatizada que se utiliza para encontrar archivos ejecutables existentes en el sistema eficaz Windows que se pueden utilizar para eludir cualquier regla de control de aplicaciones. Es muy claro de usar, rápido, ahorra tiempo y es completamente espontáneo. Se genera un referencia para usted que incluye una descripción, capturas de pantalla y sugerencias para la mitigación, así como suites para los equipos garzo y rojo al evaluar una período luego de la explotación.

requisito

  • Sistema eficaz Windows.
  • Visual Studio 2017 instalado.

Instrucciones de uso

Descarga y sigue el plan Evasor. Asegúrese de que el archivo App.config del árbol del plan esté excluido del árbol de relato.

Ejecute Evasor.exe desde la carpeta bin. Elija su opción numérica entre las siguientes opciones:

  1. ¡Encuentre ejecutables que puedan eludir el control de la aplicación!
  • Obtenga todas las rutas relativas de todos los procesos en ejecución
  • Verifique cada proceso (ejecutable) para ver si es susceptible a la inyección de DLL mediante:
    1. Ejecute el componente de Microsoft «MavInject» en la ruta C: Windows System32 mavinject.exe con parámetros tipificado.
    2. Si comprueba el código de salida de ejecución de MavInject y finaliza el proceso normalmente, significa que el proceso es endeble a la inyección de DLL y se puede utilizar para evitar el control de la aplicación.
  1. ¡Encontrar procesos propensos al secuestro de DLL!
  • Obtenga todos los procesos en ejecución
  • Para cada proceso en curso:
    1. Recuperar los módulos de proceso cargados
    2. Verifique si tiene permiso para escribir datos en el directorio de procesos de trabajo creando un archivo infructifero con el nombre del módulo cargado (DLL) o sobrescribiendo un archivo de módulo de existencia en el directorio de procesos de trabajo.
    3. Si la escritura es exitosa, el proceso parece ser endeble al secuestro de DLL.
  1. Busque archivos de posibles potencialmente secuestrables
  • Busque archivos específicos en la computadora por su extensión.
  • Intentar reemplazar estos archivos en otra ubicación para comprobar que el archivo sea reemplazable y, eventualmente, potencialmente propenso al secuestro de posibles.
  • Extensiones: xml, config, json, bat, cmd, ps1, vbs, ini, js, exe, dll, msi, yaml, lib, inf, reg, log, htm, hta, sys, rsp
  1. La engendramiento de un documento de Word para un referencia de evaluación espontáneo incluye una descripción de las pruebas realizadas y capturas de pantalla.

Observaciones

  • El código flamante fue desarrollado y utilizado en CyberArk Labs: Copyright © 2020 CyberArk Software Ltd. Reservados todos los derechos. internamente realiza una completa automatización y uso de los resultados informativos.
  • El código flamante incluye cierta activación y explotación, pero lo hemos eliminado de aquí.
  • El contenido del archivo en la carpeta «DLL» está infructifero y no contiene ningún código de explotación. Los equipos rojo y garzo de la comunidad de seguridad cibernética se pueden utilizar e implementar de acuerdo con sus propias deposición y pueden servir como punto de partida para sus objetivos de evaluación.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba