Linux

Utilice el apalancamiento para los asaltos de movimiento del costado

TChopper, una exclusiva tecnología que descubrí y nombré últimamente (Chop Chop), exhibe los servicios de Windows y los nombres para enseñar de WMI al pasar binarios maliciosos como bloques Base64, y el desarrollo de empleo de las herramientas TChopper está automatizado.

De qué manera marcha

  • La herramienta recobrará el fichero que quiere pasar de contrabando y codificará el fichero en base64 en el fluído de memoria.
  • Divida la longitud de cada línea entre 150 y 250 letras y números (250 es el espacio máximo tolerado por el servicio https://docs.microsoft.com/en-us/windows/win32/api/winsvc/nf factor lpDisplayname) – winsvc – createervicea).
  • Para los asaltos chop-chop, cree un servicio único para cada bloque segmentado => comience el servicio => entonces elimínelo para eludir repetidos, o sencillamente puede emplear este modo para lograr que el modo perfecto de ataque de servicio sea mucho más veloz y mucho más permanente de elegir (-Subterraneo)
  • Entonces use el nombre para enseñar del servicio Capture y pagine los desenlaces en tmp_payload.txt La línea de comando requerida para cambiar el factor lpbinarypath del servicio
  • Al final, una vez que todas y cada una de las unas partes del fichero se usan como base64, la herramienta crea y ejecuta otro servicio para decodificar el contenido que se está corriendo.

Si emplea la tecnología WMI para el movimiento del costado, asimismo puede utilizar el picador para exactamente la misma operación

  • Tchopper utiliza WMI para comprobar su sesión
  • Cree múltiples procesos y use un solo comando de Powershell para cargar cada segmento en c: usuario publicchop.enc
  • Crea el desarrollo final de decodificación y ejecución del contenido del binario con certutil

emplear

#Modo parrilla
chopper.exe -s -u nombre de usuario -p contraseña -d dominio -f ruta binaria local
#hack Hack terminado
chopper.exe -m -u nombre de usuario -p contraseña -d dominio -f ruta binaria local
Contrabando con #WMI
chopper.exe -w -u nombre de dominio -p contraseña -t máquina -f ruta local PA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba