Ps Tools

Ein gutes technisches Verständnis der Systeme, auf denen wir während eines Engagements landen, ist eine wichtige Bedingung für die Entscheidung, was der nächste Schritt innerhalb eines Betriebs sein wird. Durch das Sammeln und Analysieren von Daten über laufende Prozesse aus gefährdeten Systemen erhalten wir eine Fülle von Informationen und hilft uns, besser zu verstehen, wie die IT -Landschaft einer Zielorganisation eingerichtet ist. Darüber hinaus ermöglichen es uns in regelmäßigen Abstimmungsdaten, auf Änderungen innerhalb der Umwelt zu reagieren oder Auslöser zu liefern, wenn eine Untersuchung stattfindet.

Um detaillierte Prozessdaten aus kompromittierten Endpunkten sammeln zu können, haben wir eine Sammlung von Prozesswerkzeugen geschrieben, die die Leistung dieser erweiterten Prozessversorgungsunternehmen in C2-Frameworks (z. B. Cobalt Strike) verleiht.

Weitere Informationen zu den Tools und gebrauchten Techniken finden Sie im folgenden Blog: https://outflank.nl/blog/2020/03/11/red-team-tactics-advanced-process-monitoring-techniques-in-offesive- Operationen/

 Psx: Shows a detailed list of all processes running on the system.
Psk: Shows detailed kernel information including loaded driver modules.
Psc: Shows a detailed list of all processes with Established TCP connections.
Psm: Show detailed module information from a specific process id (loaded modules, network connections e.g.).
Psh: Show detailed handle information from a specific process id (object handles, network connections e.g.).
Psw: Show Window titles from processes with active Windows.

 Download the Outflank-Ps-Tools folder and load the Ps-Tools.cna script within the Cobalt Strike Script Manager.
Use the Beacon help command to display syntax information.

 This project is written in C/C++
You can use Visual Studio to compile the reflective dll's from source.

Autor: Cornelis de Plaa (@cneelis) / exflank

Schreien Sie zu: Stan Hegt (@stanhacked) und all meine anderen großartigen Kollegen in der Outflank