Ps Tools

Tener una buena comprensión técnica de los sistemas en los que aterrizamos durante un compromiso es una condición clave para decidir cuál será el siguiente paso dentro de una operación. Recopilar y analizar datos de procesos de ejecución de sistemas comprometidos nos brinda una gran cantidad de información y nos ayuda a comprender mejor cómo se configura el panorama de TI de una organización objetivo. Además, los datos del proceso de votación periódicamente nos permiten reaccionar sobre los cambios dentro del entorno o proporcionar desencadenantes cuando se realiza una investigación.

Para poder recopilar datos de proceso detallados de los puntos finales comprometidos, escribimos una colección de herramientas de proceso que lleva el poder de estos servicios de proceso avanzados a los marcos C2 (como Cobalt Strike).

Se puede encontrar más información sobre las herramientas y las técnicas utilizadas en el siguiente blog: https://outflank.nl/blog/2020/03/11/red-team-tactics--advanced-process-monitoring-techniques-inofensive- operaciones/

 Psx: Shows a detailed list of all processes running on the system.
Psk: Shows detailed kernel information including loaded driver modules.
Psc: Shows a detailed list of all processes with Established TCP connections.
Psm: Show detailed module information from a specific process id (loaded modules, network connections e.g.).
Psh: Show detailed handle information from a specific process id (object handles, network connections e.g.).
Psw: Show Window titles from processes with active Windows.

 Download the Outflank-Ps-Tools folder and load the Ps-Tools.cna script within the Cobalt Strike Script Manager.
Use the Beacon help command to display syntax information.

 This project is written in C/C++
You can use Visual Studio to compile the reflective dll's from source.

Autor: Cornelis de Plaa (@cneelis) / Flank de salida

Grita a: Stan Hegt (@Stanhacked) y todos mis otros grandes colegas en Outflank