Ps Tools

การมีความเข้าใจทางเทคนิคที่ดีเกี่ยวกับระบบที่เราลงจอดในระหว่างการมีส่วนร่วมเป็นเงื่อนไขสำคัญสำหรับการตัดสินใจว่าจะเป็นขั้นตอนต่อไปในการดำเนินการ การรวบรวมและวิเคราะห์ข้อมูลกระบวนการทำงานจากระบบที่ถูกบุกรุกทำให้เรามีข้อมูลมากมายและช่วยให้เราเข้าใจได้ดีขึ้นว่าภูมิทัศน์ด้านไอทีจากองค์กรเป้าหมายได้รับการตั้งค่าอย่างไร ยิ่งไปกว่านั้นข้อมูลกระบวนการสำรวจเป็นระยะช่วยให้เราสามารถตอบสนองต่อการเปลี่ยนแปลงภายในสภาพแวดล้อมหรือให้ทริกเกอร์เมื่อมีการสอบสวน

เพื่อให้สามารถรวบรวมข้อมูลกระบวนการโดยละเอียดจากจุดสิ้นสุดที่ถูกบุกรุกเราได้เขียนชุดเครื่องมือกระบวนการซึ่งนำพลังของยูทิลิตี้กระบวนการขั้นสูงเหล่านี้มาสู่กรอบ C2 (เช่น Cobalt Strike)

ข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือและเทคนิคที่ใช้แล้วสามารถพบได้ในบล็อกต่อไปนี้: https://outflank.nl/blog/2020/03/11/red-team-tactics-advanced-process-monitoring-techniques-inconsive- การดำเนินงาน/

 Psx: Shows a detailed list of all processes running on the system.
Psk: Shows detailed kernel information including loaded driver modules.
Psc: Shows a detailed list of all processes with Established TCP connections.
Psm: Show detailed module information from a specific process id (loaded modules, network connections e.g.).
Psh: Show detailed handle information from a specific process id (object handles, network connections e.g.).
Psw: Show Window titles from processes with active Windows.

 Download the Outflank-Ps-Tools folder and load the Ps-Tools.cna script within the Cobalt Strike Script Manager.
Use the Beacon help command to display syntax information.

 This project is written in C/C++
You can use Visual Studio to compile the reflective dll's from source.

ผู้แต่ง: Cornelis de Plaa (@cneelis) / Outflank

ตะโกนออกไปที่: Stan Hegt (@Sstanhacked) และเพื่อนร่วมงานที่ยิ่งใหญ่ของฉันทุกคนที่ Outflank