Ps Tools

Ter um bom entendimento técnico dos sistemas em que pousarmos durante um engajamento é uma condição -chave para decidir o que será o próximo passo dentro de uma operação. A coleta e análise de dados de processos de execução de sistemas comprometidos nos fornece uma riqueza de informações e nos ajuda a entender melhor como o cenário de TI de uma organização -alvo é configurado. Além disso, os dados do processo de pesquisa periodicamente nos permitem reagir às alterações no ambiente ou fornecer gatilhos quando uma investigação estiver ocorrendo.

Para poder coletar dados detalhados do processo a partir de pontos finais comprometidos, escrevemos uma coleção de ferramentas de processo que traz o poder desses utilitários de processos avançados para estruturas C2 (como greve de cobalto).

Mais informações sobre as ferramentas e técnicas usadas podem ser encontradas no seguinte blog: https://outflank.nl/blog/2020/03/11/red-tactics-advanced-process-monitoring-techniques-in-ofensivo- operações/

 Psx: Shows a detailed list of all processes running on the system.
Psk: Shows detailed kernel information including loaded driver modules.
Psc: Shows a detailed list of all processes with Established TCP connections.
Psm: Show detailed module information from a specific process id (loaded modules, network connections e.g.).
Psh: Show detailed handle information from a specific process id (object handles, network connections e.g.).
Psw: Show Window titles from processes with active Windows.

 Download the Outflank-Ps-Tools folder and load the Ps-Tools.cna script within the Cobalt Strike Script Manager.
Use the Beacon help command to display syntax information.

 This project is written in C/C++
You can use Visual Studio to compile the reflective dll's from source.

Autor: Cornelis de Plaa (@cneelis) / outflank

Grite para: Stan Hegt (@Stanhacked) e todos os meus outros grandes colegas do Fourtfulk