Ps Tools

Наличие хорошего технического понимания систем, на которых мы приземляемся во время взаимодействия, является ключевым условием для решения, что будет следующим шагом в рамках операции. Сбор и анализ данных о запуске процессов из скомпрометированных систем дает нам огромную информацию и помогает нам лучше понять, как настраивается ландшафт ИТ из целевой организации. Кроме того, данные процесса периодически опроса позволяют нам реагировать на изменения в окружающей среде или предоставлять триггеры, когда проводится расследование.

Чтобы иметь возможность собирать подробные данные процесса из скомпрометированных конечных точек, мы написали коллекцию инструментов процесса, которые привносят мощность этих утилит передового процесса в рамки C2 (такие как удар кобальта).

Более подробную информацию о инструментах и ​​использованных методах можно найти в следующем блоге: https://outflank.nl/blog/2020/03/11/red-team-tactics-advanced-process-monitoring-techniques-inforwent- операции/

 Psx: Shows a detailed list of all processes running on the system.
Psk: Shows detailed kernel information including loaded driver modules.
Psc: Shows a detailed list of all processes with Established TCP connections.
Psm: Show detailed module information from a specific process id (loaded modules, network connections e.g.).
Psh: Show detailed handle information from a specific process id (object handles, network connections e.g.).
Psw: Show Window titles from processes with active Windows.

 Download the Outflank-Ps-Tools folder and load the Ps-Tools.cna script within the Cobalt Strike Script Manager.
Use the Beacon help command to display syntax information.

 This project is written in C/C++
You can use Visual Studio to compile the reflective dll's from source.

Автор: Cornelis de Plaa (@cneelis) / Outflank

Выкрикивать: Stan Hegt (@stanhacked) и все мои другие великие коллеги в Outflank