Ps Tools

Avoir une bonne compréhension technique des systèmes sur lesquels nous atterrissons lors d'un engagement est une condition clé pour décider de ce qui sera la prochaine étape au sein d'une opération. La collecte et l'analyse des données des processus en cours d'exécution à partir de systèmes compromis nous donnent une multitude d'informations et nous aident à mieux comprendre comment le paysage informatique d'une organisation cible est configuré. De plus, les données périodiquement des processus de sondage nous permettent de réagir sur les changements dans l'environnement ou de fournir des déclencheurs lorsqu'une enquête a lieu.

Pour pouvoir collecter des données de processus détaillées à partir de critères de terminaison compromis, nous avons rédigé une collection d'outils de processus qui apporte la puissance de ces utilitaires de processus avancés aux cadres C2 (comme Cobalt Strike).

Plus d'informations sur les outils et les techniques d'occasion peuvent être trouvées sur le blog suivant: https://outflank.nl/blog/2020/03/11/red-team-tactics-advanced-process-monitoring-techniques-in-offensive- opérations /

 Psx: Shows a detailed list of all processes running on the system.
Psk: Shows detailed kernel information including loaded driver modules.
Psc: Shows a detailed list of all processes with Established TCP connections.
Psm: Show detailed module information from a specific process id (loaded modules, network connections e.g.).
Psh: Show detailed handle information from a specific process id (object handles, network connections e.g.).
Psw: Show Window titles from processes with active Windows.

 Download the Outflank-Ps-Tools folder and load the Ps-Tools.cna script within the Cobalt Strike Script Manager.
Use the Beacon help command to display syntax information.

 This project is written in C/C++
You can use Visual Studio to compile the reflective dll's from source.

Auteur: Cornelis de Plaa (@cneelis) / Overflan

Criez à: Stan Hegt (@stanhacked) et tous mes autres grands collègues à Overflank