Seatbelt
1.0.0
Ремень безопасности — это проект C#, который выполняет ряд ориентированных на безопасность «проверок безопасности» хост-опроса, актуальных как с точки зрения наступательной, так и с защитной точки зрения.
Сценарий HostEnum.ps1 @andrewchiles и Get-HostProfile.ps1 @tifkin_ послужили источником вдохновения для сбора многих артефактов.
@harmj0y и @tifkin_ — основные авторы этой реализации.
Ремни безопасности лицензированы по лицензии BSD 3-Clause.
%&&@@@&&
&&&&&&&%%%, #&&@@@@@@%%%%%%###############%
&%& %&%% &////(((&%%%%%#%################//((((###%%%%%%%%%%%%%%%
%%%%%%%%%%%######%%%#%%####% &%%**# @////(((&%%%%%%######################(((((((((((((((((((
#%#%%%%%%%#######%#%%####### %&%,,,,,,,,,,,,,,,, @////(((&%%%%%#%#####################(((((((((((((((((((
#%#%%%%%%#####%%#%#%%####### %%%,,,,,, ,,. ,, @////(((&%%%%%%%######################(#(((#(#((((((((((
#####%%%#################### &%%...... ... .. @////(((&%%%%%%%###############%######((#(#(####((((((((
#######%##########%######### %%%...... ... .. @////(((&%%%%%#########################(#(#######((#####
###%##%%#################### &%%............... @////(((&%%%%%%%%##############%#######(#########((#####
#####%###################### %%%.. @////(((&%%%%%%%################
&%& %%%%% Seatbelt %////(((&%%%%%%%%#############*
&%%&&&%%%%% v1.2.1 ,(((&%%%%%%%%%%%%%%%%%,
#%%%%##,
Available commands (+ means remote usage is supported):
+ AMSIProviders - Providers registered for AMSI
+ AntiVirus - Registered antivirus (via WMI)
+ AppLocker - AppLocker settings, if installed
ARPTable - Lists the current ARP table and adapter information (equivalent to arp -a)
AuditPolicies - Enumerates classic and advanced audit policy settings
+ AuditPolicyRegistry - Audit settings via the registry
+ AutoRuns - Auto run executables/scripts/programs
azuread - Return AzureAD info
Certificates - Finds user and machine personal certificate files
CertificateThumbprints - Finds thumbprints for all certificate store certs on the system
+ ChromiumBookmarks - Parses any found Chrome/Edge/Brave/Opera bookmark files
+ ChromiumHistory - Parses any found Chrome/Edge/Brave/Opera history files
+ ChromiumPresence - Checks if interesting Chrome/Edge/Brave/Opera files exist
+ CloudCredentials - AWS/Google/Azure/Bluemix cloud credential files
+ CloudSyncProviders - All configured Office 365 endpoints (tenants and teamsites) which are synchronised by OneDrive.
CredEnum - Enumerates the current user's saved credentials using CredEnumerate()
+ CredGuard - CredentialGuard configuration
dir - Lists files/folders. By default, lists users' downloads, documents, and desktop folders (arguments == [directory] [maxDepth] [regex] [boolIgnoreErrors]
+ DNSCache - DNS cache entries (via WMI)
+ DotNet - DotNet versions
+ DpapiMasterKeys - List DPAPI master keys
EnvironmentPath - Current environment %PATH$ folders and SDDL information
+ EnvironmentVariables - Current environment variables
+ ExplicitLogonEvents - Explicit Logon events (Event ID 4648) from the security event log. Default of 7 days, argument == last X days.
ExplorerMRUs - Explorer most recently used files (last 7 days, argument == last X days)
+ ExplorerRunCommands - Recent Explorer "run" commands
FileInfo - Information about a file (version information, timestamps, basic PE info, etc. argument(s) == file path(s)
+ FileZilla - FileZilla configuration files
+ FirefoxHistory - Parses any found FireFox history files
+ FirefoxPresence - Checks if interesting Firefox files exist
+ Hotfixes - Installed hotfixes (via WMI)
IdleTime - Returns the number of seconds since the current user's last input.
+ IEFavorites - Internet Explorer favorites
IETabs - Open Internet Explorer tabs
+ IEUrls - Internet Explorer typed URLs (last 7 days, argument == last X days)
+ InstalledProducts - Installed products via the registry
InterestingFiles - "Interesting" files matching various patterns in the user's folder. Note: takes non-trivial time.
+ InterestingProcesses - "Interesting" processes - defensive products and admin tools
InternetSettings - Internet settings including proxy configs and zones configuration
+ KeePass - Finds KeePass configuration files
+ LAPS - LAPS settings, if installed
+ LastShutdown - Returns the DateTime of the last system shutdown (via the registry).
LocalGPOs - Local Group Policy settings applied to the machine/local users
+ LocalGroups - Non-empty local groups, "-full" displays all groups (argument == computername to enumerate)
+ LocalUsers - Local users, whether they're active/disabled, and pwd last set (argument == computername to enumerate)
+ LogonEvents - Logon events (Event ID 4624) from the security event log. Default of 10 days, argument == last X days.
+ LogonSessions - Windows logon sessions
LOLBAS - Locates Living Off The Land Binaries and Scripts (LOLBAS) on the system. Note: takes non-trivial time.
+ LSASettings - LSA settings (including auth packages)
+ MappedDrives - Users' mapped drives (via WMI)
McAfeeConfigs - Finds McAfee configuration files
McAfeeSiteList - Decrypt any found McAfee SiteList.xml configuration files.
MicrosoftUpdates - All Microsoft updates (via COM)
MTPuTTY - MTPuTTY configuration files
NamedPipes - Named pipe names, any readable ACL information and associated process information.
+ NetworkProfiles - Windows network profiles
+ NetworkShares - Network shares exposed by the machine (via WMI)
+ NTLMSettings - NTLM authentication settings
OfficeMRUs - Office most recently used file list (last 7 days)
OneNote - List OneNote backup files
+ OptionalFeatures - List Optional Features/Roles (via WMI)
OracleSQLDeveloper - Finds Oracle SQLDeveloper connections.xml files
+ OSInfo - Basic OS info (i.e. architecture, OS version, etc.)
+ OutlookDownloads - List files downloaded by Outlook
+ PoweredOnEvents - Reboot and sleep schedule based on the System event log EIDs 1, 12, 13, 42, and 6008. Default of 7 days, argument == last X days.
+ PowerShell - PowerShell versions and security settings
+ PowerShellEvents - PowerShell script block logs (4104) with sensitive data.
+ PowerShellHistory - Searches PowerShell console history files for sensitive regex matches.
Printers - Installed Printers (via WMI)
+ ProcessCreationEvents - Process creation logs (4688) with sensitive data.
Processes - Running processes with file info company names that don't contain 'Microsoft', "-full" enumerates all processes
+ ProcessOwners - Running non-session 0 process list with owners. For remote use.
+ PSSessionSettings - Enumerates PS Session Settings from the registry
+ PuttyHostKeys - Saved Putty SSH host keys
+ PuttySessions - Saved Putty configuration (interesting fields) and SSH host keys
RDCManFiles - Windows Remote Desktop Connection Manager settings files
+ RDPSavedConnections - Saved RDP connections stored in the registry
+ RDPSessions - Current incoming RDP sessions (argument == computername to enumerate)
+ RDPsettings - Remote Desktop Server/Client Settings
RecycleBin - Items in the Recycle Bin deleted in the last 30 days - only works from a user context!
reg - Registry key values (HKLMSoftware by default) argument == [Path] [intDepth] [Regex] [boolIgnoreErrors]
RPCMappedEndpoints - Current RPC endpoints mapped
+ SCCM - System Center Configuration Manager (SCCM) settings, if applicable
+ ScheduledTasks - Scheduled tasks (via WMI) that aren't authored by 'Microsoft', "-full" dumps all Scheduled tasks
SearchIndex - Query results from the Windows Search Index, default term of 'passsword'. (argument(s) == <search path> <pattern1,pattern2,...>
SecPackageCreds - Obtains credentials from security packages
+ SecureBoot - Secure Boot configuration
SecurityPackages - Enumerates the security packages currently available using EnumerateSecurityPackagesA()
Services - Services with file info company names that don't contain 'Microsoft', "-full" dumps all processes
+ SlackDownloads - Parses any found 'slack-downloads' files
+ SlackPresence - Checks if interesting Slack files exist
+ SlackWorkspaces - Parses any found 'slack-workspaces' files
+ SuperPutty - SuperPutty configuration files
+ Sysmon - Sysmon configuration from the registry
+ SysmonEvents - Sysmon process creation logs (1) with sensitive data.
TcpConnections - Current TCP connections and their associated processes and services
TokenGroups - The current token's local and domain groups
TokenPrivileges - Currently enabled token privileges (e.g. SeDebugPrivilege/etc.)
+ UAC - UAC system policies via the registry
UdpConnections - Current UDP connections and associated processes and services
UserRightAssignments - Configured User Right Assignments (e.g. SeDenyNetworkLogonRight, SeShutdownPrivilege, etc.) argument == computername to enumerate
WifiProfile - Enumerates the saved Wifi profiles and extract the ssid, authentication type, cleartext key/passphrase (when possible)
+ WindowsAutoLogon - Registry autologon information
WindowsCredentialFiles - Windows credential DPAPI blobs
+ WindowsDefender - Windows Defender settings (including exclusion locations)
+ WindowsEventForwarding - Windows Event Forwarding (WEF) settings via the registry
+ WindowsFirewall - Non-standard firewall rules, "-full" dumps all (arguments == allow/deny/tcp/udp/in/out/domain/private/public)
WindowsVault - Credentials saved in the Windows Vault (i.e. logins from Internet Explorer and Edge).
+ WMI - Runs a specified WMI query
WMIEventConsumer - Lists WMI Event Consumers
WMIEventFilter - Lists WMI Event Filters
WMIFilterBinding - Lists WMI Filter to Consumer Bindings
+ WSUS - Windows Server Update Services (WSUS) settings, if applicable
Seatbelt has the following command groups: All, User, System, Slack, Chromium, Remote, Misc
You can invoke command groups with "Seatbelt.exe <group>"
Or command groups except specific commands "Seatbelt.exe <group> -Command"
"Seatbelt.exe -group=all" runs all commands
"Seatbelt.exe -group=user" runs the following commands:
azuread, Certificates, CertificateThumbprints, ChromiumPresence, CloudCredentials,
CloudSyncProviders, CredEnum, dir, DpapiMasterKeys,
ExplorerMRUs, ExplorerRunCommands, FileZilla, FirefoxPresence,
IdleTime, IEFavorites, IETabs, IEUrls,
KeePass, MappedDrives, MTPuTTY, OfficeMRUs,
OneNote, OracleSQLDeveloper, PowerShellHistory, PuttyHostKeys,
PuttySessions, RDCManFiles, RDPSavedConnections, SecPackageCreds,
SlackDownloads, SlackPresence, SlackWorkspaces, SuperPutty,
TokenGroups, WindowsCredentialFiles, WindowsVault
"Seatbelt.exe -group=system" runs the following commands:
AMSIProviders, AntiVirus, AppLocker, ARPTable, AuditPolicies,
AuditPolicyRegistry, AutoRuns, Certificates, CertificateThumbprints,
CredGuard, DNSCache, DotNet, EnvironmentPath,
EnvironmentVariables, Hotfixes, InterestingProcesses, InternetSettings,
LAPS, LastShutdown, LocalGPOs, LocalGroups,
LocalUsers, LogonSessions, LSASettings, McAfeeConfigs,
NamedPipes, NetworkProfiles, NetworkShares, NTLMSettings,
OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell,
Processes, PSSessionSettings, RDPSessions, RDPsettings,
SCCM, SecureBoot, Services, Sysmon,
TcpConnections, TokenPrivileges, UAC, UdpConnections,
UserRightAssignments, WifiProfile, WindowsAutoLogon, WindowsDefender,
WindowsEventForwarding, WindowsFirewall, WMI, WMIEventConsumer,
WMIEventFilter, WMIFilterBinding, WSUS
"Seatbelt.exe -group=slack" runs the following commands:
SlackDownloads, SlackPresence, SlackWorkspaces
"Seatbelt.exe -group=chromium" runs the following commands:
ChromiumBookmarks, ChromiumHistory, ChromiumPresence
"Seatbelt.exe -group=remote" runs the following commands:
AMSIProviders, AntiVirus, AuditPolicyRegistry, ChromiumPresence, CloudCredentials,
DNSCache, DotNet, DpapiMasterKeys, EnvironmentVariables,
ExplicitLogonEvents, ExplorerRunCommands, FileZilla, Hotfixes,
InterestingProcesses, KeePass, LastShutdown, LocalGroups,
LocalUsers, LogonEvents, LogonSessions, LSASettings,
MappedDrives, NetworkProfiles, NetworkShares, NTLMSettings,
OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell,
ProcessOwners, PSSessionSettings, PuttyHostKeys, PuttySessions,
RDPSavedConnections, RDPSessions, RDPsettings, SecureBoot,
Sysmon, WindowsDefender, WindowsEventForwarding, WindowsFirewall
"Seatbelt.exe -group=misc" runs the following commands:
ChromiumBookmarks, ChromiumHistory, ExplicitLogonEvents, FileInfo, FirefoxHistory,
InstalledProducts, InterestingFiles, LogonEvents, LOLBAS,
McAfeeSiteList, MicrosoftUpdates, OutlookDownloads, PowerShellEvents,
Printers, ProcessCreationEvents, ProcessOwners, RecycleBin,
reg, RPCMappedEndpoints, ScheduledTasks, SearchIndex,
SecurityPackages, SysmonEvents
Examples:
'Seatbelt.exe <Command> [Command2] ...' will run one or more specified checks only
'Seatbelt.exe <Command> -full' will return complete results for a command without any filtering.
'Seatbelt.exe "<Command> [argument]"' will pass an argument to a command that supports it (note the quotes).
'Seatbelt.exe -group=all' will run ALL enumeration checks, can be combined with "-full".
'Seatbelt.exe -group=all -AuditPolicies' will run all enumeration checks EXCEPT AuditPolicies, can be combined with "-full".
'Seatbelt.exe <Command> -computername=COMPUTER.DOMAIN.COM [-username=DOMAINUSER -password=PASSWORD]' will run an applicable check remotely
'Seatbelt.exe -group=remote -computername=COMPUTER.DOMAIN.COM [-username=DOMAINUSER -password=PASSWORD]' will run remote specific checks
'Seatbelt.exe -group=system -outputfile="C:Tempout.txt"' will run system checks and output to a .txt file.
'Seatbelt.exe -group=user -q -outputfile="C:Tempout.json"' will run in quiet mode with user checks and output to a .json file.
Примечание. Поиск, который целевые пользователи будут выполнять для текущего пользователя, если он не имеет повышенных прав, и для ВСЕХ пользователей, если он повышен.
Примечание. Многие команды по умолчанию выполняют тот или иной тип фильтрации. Указание аргумента -full предотвращает фильтрацию вывода. Кроме того, группа команд all выполнит все текущие проверки.
Например, следующая команда выполнит ВСЕ проверки и вернет ВСЕ выходные данные:
Seatbelt.exe -group=all -full
Запускает проверки и собирает интересные данные о системе.
Выполняется с помощью: Seatbelt.exe -group=system
| Команда | Описание |
|---|---|
| AMSIПровайдеры | Поставщики, зарегистрированные в AMSI |
| Антивирус | Зарегистрированный антивирус (через WMI) |
| AppLocker | Настройки AppLocker, если он установлен |
| ARPTable | Выводит текущую таблицу ARP и информацию об адаптере (эквивалент arp -a). |
| Политики аудита | Перечисляет классические и расширенные параметры политики аудита. |
| Политика аудитаРеестр | Аудит настроек через реестр |
| Автозапуск | Автоматический запуск исполняемых файлов/скриптов/программ |
| Сертификаты | Файлы личных сертификатов пользователя и машины |
| СертификатОтпечатки | Отпечатки всех сертификатов хранилища сертификатов в системе. |
| КредГард | Конфигурация CredentialGuard |
| DNSКэш | Записи кэша DNS (через WMI) |
| ДотНет | Дотнет-версии |
| путь среды | Папки %PATH$ текущей среды и информация SDDL |
| Переменные среды | Текущие переменные среды пользователя |
| Исправления | Установленные исправления (через WMI) |
| ИнтересныеПроцессы | «Интересные» процессы — защитные продукты и инструменты администрирования |
| ИнтернетНастройки | Настройки Интернета, включая конфигурации прокси |
| КРУГИ | Настройки LAPS, если установлены |
| Последнее выключение | Возвращает дату и время последнего завершения работы системы (через реестр). |
| Локальные объекты групповой политики | Параметры локальной групповой политики, примененные к машине/локальным пользователям |
| Локальные группы | Непустые локальные группы, «полный» отображает все группы (аргумент == имя компьютера для перечисления) |
| Локальные пользователи | Локальные пользователи, активны ли они или отключены, а также последний установленный пароль (аргумент == имя компьютера для перечисления) |
| Сеансы входа в систему | События входа в систему (идентификатор события 4624) из журнала событий безопасности. По умолчанию 10 дней, аргумент == последние X дней. |
| Настройки ЛСА | Настройки LSA (включая пакеты аутентификации) |
| McAfeeConfigs | Находит файлы конфигурации McAfee. |
| Именованные трубы | Имена именованных каналов и любая читаемая информация ACL. |
| Сетевые профили | Сетевые профили Windows |
| Сетевые акции | Сетевые ресурсы, предоставляемые машиной (через WMI) |
| Настройки НТЛМ | Настройки аутентификации NTLM |
| Дополнительные функции | TODO |
| Информация об ОС | Основная информация об ОС (т. е. архитектура, версия ОС и т. д.) |
| PoweredOnEvents | Расписание перезагрузки и сна на основе EID 1, 12, 13, 42 и 6008 журнала системных событий. По умолчанию — 7 дней, аргумент == последние X дней. |
| PowerShell | Версии PowerShell и настройки безопасности |
| Процессы | Запуск процессов с названиями компаний с информацией о файлах, которые не содержат «Microsoft», «полный» перечисляет все процессы. |
| PSSessionSettings | Перечисляет настройки сеанса PS из реестра. |
| РПДСессии | Текущие входящие сеансы RDP (аргумент == имя компьютера для перечисления) |
| Настройки RDP | Настройки сервера/клиента удаленного рабочего стола |
| СККМ | Параметры System Center Configuration Manager (SCCM), если применимо. |
| Услуги | Службы с названиями компаний с информацией о файлах, которые не содержат «Microsoft», «полный» дамп всех процессов |
| Сисмон | Конфигурация Sysmon из реестра |
| TCPConnections | Текущие TCP-соединения и связанные с ними процессы и службы. |
| Привилегии токена | Включенные в настоящее время привилегии токена (например, SeDebugPrivilege/и т. д.) |
| ОАК | Системные политики UAC через реестр |
| UdpСоединения | Текущие UDP-соединения и связанные с ними процессы и службы. |
| Пользовательские права назначения | Настроенные назначения прав пользователя (например, SeDenyNetworkLogonRight, SeShutdownPrivilege и т. д.) аргумент == имя компьютера для перечисления |
| Профиль Wi-Fi | TODO |
| WindowsАвтовход в систему | Информация об автоматическом входе в реестр |
| Защитник Windows | Настройки Защитника Windows (включая местоположения исключения) |
| WindowsEventForwarding | Настройки пересылки событий Windows (WEF) через реестр |
| WindowsБрандмауэр | Нестандартные правила брандмауэра, «полный» сброс всех (аргументы == разрешить/запретить/tcp/udp/in/out/domain/private/public) |
| WMIEventConsumer | Перечисляет потребителей событий WMI |
| ВМИЭвентФильтер | Перечисляет фильтры событий WMI |
| WMIFilterBinding | Перечисляет фильтр WMI для потребительских привязок |
| WSUS | Параметры служб Windows Server Update Services (WSUS), если применимо. |
Запускает проверки, которые собирают интересные данные о текущем вошедшем в систему пользователе (если нет повышенных прав) или ВСЕХ пользователях (если повышенные права).
Выполняется с помощью: Seatbelt.exe -group=user
| Команда | Описание |
|---|---|
| Сертификаты | Файлы личных сертификатов пользователя и машины |
| СертификатОтпечатки | Отпечатки всех сертификатов хранилища сертификатов в системе. |
| ХромПрисутствие | Проверяет, существуют ли интересные файлы Chrome/Edge/Brave/Opera. |
| CloudCredentials | Файлы облачных учетных данных AWS/Google/Azure |
| CloudSyncProviders | TODO |
| CredEnum | Перечисляет сохраненные учетные данные текущего пользователя с помощью CredEnumerate(). |
| реж. | Перечисляет файлы/папки. По умолчанию выводит список загрузок, документов и папок на рабочем столе пользователей (аргументы == <каталог> <глубина> <регулярное выражение> |
| DpapiMasterKeys | Получение списка главных ключей DPAPI |
| Дсрегкмд | TODO |
| ExplorerMRU | Последние использованные файлы в Проводнике (последние 7 дней, аргумент == последние X дней) |
| Команды выполнения проводника | Последние команды «запуска» Explorer |
| ФайлZilla | Конфигурационные файлы FileZilla |
| FirefoxПрисутствие | Проверяет, существуют ли интересные файлы Firefox. |
| Время простоя | Возвращает количество секунд с момента последнего ввода текущего пользователя. |
| IEFИзбранное | Избранное Internet Explorer |
| IETabs | Открытие вкладок Internet Explorer |
| IEurls | URL-адреса, введенные в Internet Explorer (последние 7 дней, аргумент == последние X дней) |
| Кипасс | TODO |
| Сопоставленные диски | Подключенные диски пользователей (через WMI) |
| ОфисMRU | Список последних использованных файлов Office (за последние 7 дней) |
| OneNote | TODO |
| OracleSQLРазработчик | TODO |
| История PowerShell | Просматривает каждого локального пользователя и пытается прочитать историю его консоли PowerShell, в случае успеха распечатывает ее. |
| PuttyHostKeys | Сохраненные ключи хоста Putty SSH. |
| PuttySessions | Сохраненная конфигурация Putty (интересные поля) и ключи хоста SSH. |
| RDCManFiles | Файлы настроек диспетчера подключений к удаленному рабочему столу Windows |
| РДПСаведконнектионс | Сохраненные RDP-соединения хранятся в реестре. |
| SecPackageCreds | Получает учетные данные из пакетов безопасности |
| SlackЗагрузки | Анализирует все найденные файлы «slack-downloads». |
| SlackPresence | Проверяет, существуют ли интересные файлы Slack. |
| SlackРабочие пространства | Анализирует все найденные файлы «slack-workspaces». |
| СуперШпатлевка | Конфигурационные файлы SuperPutty |
| Группы токенов | Локальные и доменные группы текущего токена |
| WindowsCredentialFiles | Большие двоичные объекты DPAPI учетных данных Windows |
| WindowsVault | Учетные данные, сохраненные в хранилище Windows (т. е. входы из Internet Explorer и Edge). |
Выполняет все разные проверки.
Выполняется с помощью: Seatbelt.exe -group=misc
| Команда | Описание |
|---|---|
| ChromiumЗакладки | Анализирует все найденные файлы закладок Chrome/Edge/Brave/Opera. |
| История Chromium | Анализирует все найденные файлы истории Chrome/Edge/Brave/Opera. |
| Явные события входа в систему | События явного входа в систему (идентификатор события 4648) из журнала событий безопасности. По умолчанию 7 дней, аргумент == последние X дней. |
| Информация о файле | Информация о файле (информация о версии, временные метки, основная информация PE и т. д. аргумент(ы) == путь(и) к файлу |
| История Firefox | Анализирует все найденные файлы истории FireFox. |
| Установленные продукты | Установленные продукты через реестр |
| ИнтересныеФайлы | «Интересные» файлы, соответствующие различным шаблонам, в папке пользователя. Примечание: занимает нетривиальное время. |
| Входные события | События входа в систему (идентификатор события 4624) из журнала событий безопасности. По умолчанию 10 дней, аргумент == последние X дней. |
| ЛОЛБАС | Находит в системе двоичные файлы и сценарии Living Off The Land (LOLBAS). Примечание: занимает нетривиальное время. |
| McAfeeSiteList | Расшифруйте все найденные файлы конфигурации McAfee SiteList.xml. |
| MicrosoftОбновления | Все обновления Microsoft (через COM) |
| OutlookЗагрузки | Список файлов, загруженных Outlook |
| PowerShellEvents | Журналы блоков сценариев PowerShell (4104) с конфиденциальными данными. |
| Принтеры | Установленные принтеры (через WMI) |
| События процесса создания | Журналы создания процессов (4688) с конфиденциальными данными. |
| Владельцы процессов | Запуск списка процессов, не относящихся к сеансу 0, с владельцами. Для удаленного использования. |
| Корзина | Элементы в корзине, удаленные за последние 30 дней — работает только в контексте пользователя! |
| рег | Значения ключей реестра (по умолчанию HKLMSoftware) аргумент == [Path] [intDepth] [Regex] [boolIgnoreErrors] |
| РПКмаппедендпойнтс | Текущие конечные точки RPC сопоставлены |
| Запланированные задачи | Запланированные задачи (через WMI), автором которых не является Microsoft, «полный» дамп всех запланированных задач. |
| Индекс Поиска | Результаты запроса из индекса поиска Windows, термин по умолчанию «пароль». (аргумент(ы) == <путь поиска> <шаблон1,шаблон2,...> |
| Пакеты безопасности | Перечисляет пакеты безопасности, доступные в данный момент, с помощью EnumerateSecurityPackagesA(). |
| SysmonEvents | Журналы создания процессов Sysmon (1) с конфиденциальными данными. |
Выполняется с помощью: Seatbelt.exe -group=GROUPNAME
| Псевдоним | Описание |
|---|---|
| Слабый | Запускает модули, имена которых начинаются с «Slack*». |
| Хром | Запускает модули, имена которых начинаются с «Chromium*». |
| Удаленный | Запускает следующие модули (для использования в удаленной системе): AMSIProviders, AntiVirus, AuditPolicyRegistry, ChromiumPresence, CloudCredentials, DNSCache, DotNet, DpapiMasterKeys, EnvironmentVariables, ExplicitLogonEvents, ExplorerRunCommands, FileZilla, Hotfixes, InteresterProcesses, KeePass, LastShutdown, LocalGroups, LocalUsers, LogonEvents, LogonSessions, LSASettings, MappedDrives, NetworkProfiles, NetworkShares, NTLMSettings,OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell, ProcessOwners, PSSessionSettings, PuttyHostKeys, PuttySessions, RDPSavedConnections, RDPSesions, RDPsettings, Sysmon, WindowsDefender, WindowsEventForwarding, WindowsFirewall |
Команды, принимающие аргументы, отмечены в их описании. Чтобы передать аргумент команде, заключите аргументы команды в двойные кавычки.
Например, следующая команда возвращает 4624 события входа в систему за последние 30 дней:
Seatbelt.exe "LogonEvents 30"
Следующая команда запрашивает реестр на три уровня, возвращая только ключи/значения/значения, соответствующие регулярному выражению .*defini.* , и игнорируя любые возникающие ошибки.
Seatbelt.exe "reg "HKLMSOFTWAREMicrosoftWindows Defender" 3 .*defini.* true"
Ремень безопасности может перенаправить выходные данные в файл с помощью аргумента -outputfile="C:Pathfile.txt" . Если путь к файлу заканчивается на .json, выходные данные будут структурированы в формате json.
Например, следующая команда выведет результаты проверок системы в текстовый файл:
Seatbelt.exe -group=system -outputfile="C:Tempsystem.txt"
Команды, отмеченные знаком + в меню справки, можно запускать удаленно в другой системе. Это выполняется через WMI посредством запросов к классам WMI и StdRegProv WMI для перечисления реестра.
Чтобы перечислить удаленную систему, укажите -computername=COMPUTER.DOMAIN.COM - альтернативное имя пользователя и пароль можно указать с помощью -username=DOMAINUSER -password=PASSWORD
Например, следующая команда запускает удаленную проверку удаленной системы:
Seatbelt.exe -group=remote -computername=192.168.230.209 -username=THESHIREsam -password="yum "po-ta-toes""
Структура ремня безопасности полностью модульная, что позволяет добавлять дополнительные командные модули в файловую структуру и динамически загружать их.
Для справки в файле .SeatbeltCommandsTemplate.cs имеется шаблон командного модуля с комментариями. После сборки поместите модуль в логическое расположение файла, включите его в проект в обозревателе решений Visual Studio и скомпилируйте.
Мы не планируем выпускать двоичные файлы для Seatbelt, поэтому вам придется скомпилировать их самостоятельно.
Ремень безопасности создан на базе .NET 3.5 и 4.0 с функциями C# 8.0 и совместим с Visual Studio Community Edition. Просто откройте проект .sln, выберите «выпустить» и приступайте к сборке. Чтобы изменить целевую версию .NET Framework, измените настройки проекта и перестройте проект.
Ремень безопасности включает в себя различные элементы коллекции, фрагменты кода C# и фрагменты PoC, найденные в ходе исследований его возможностей. Эти идеи, фрагменты и авторы выделены в соответствующих местах исходного кода и включают в себя:
Мы постарались провести комплексную проверку цитат, но если мы кого-то/что-то упустили, сообщите нам об этом!
