CS-Remote-OPs-BOF - リモートオペレーションBOF

(NULL)

Created at: 2022-04-26 00:32:08
Language: C
License: GPL-2.0

リモートオペレーションBOF

このリポジトリは、以前にリリースされたSAリポジトリへの追加として機能します。私たちの当初のスタンスは、他のシステムを変更したツールをリリースせず、情報収集ツールをすぐに使える形式でのみ提供するというものでした。

時が経つにつれ、他の多くの公的セキュリティ会社が攻撃的なツールをリリースするのを見てきましたが、今では攻撃的なツールの一部をリリースすることが適切であると感じています。

このリポジトリには特に特別なものはなく、基本的なMicrosoftWindowsの操作はBOF形式です。これらのプリミティブは、さまざまな操作に使用できます。

インジェクションBOF

EDR検出テストを行うときに使用するインジェクションbofを含めることにしました。これらのBOFはそのまま提供され、サポートされません(src/InjectionおよびInjection/*の下のすべて)

これらを使用することは大歓迎ですが、これらに関連して開かれた問題は、レビューなしでクローズされます。

使用可能なリモート操作コマンド

指図 ノート
adcs_request 登録証明書をリクエストする
chromeKey 提供されたbase64でエンコードされたChromeキーを復号化します
enableuser 指定されたユーザーアカウントを有効またはロック解除します
procdump 指定されたプロセスを指定された出力ファイルにダンプします
ProcessDestroy プロセス内のハンドルを閉じます
ProcessListHandles 指定されたプロセスで開いているすべてのハンドルを一覧表示します
reg_delete レジストリキーを削除します
reg_save レジストリハイブをディスクに保存します
reg_set レジストリキーの設定/作成
sc_config 既存のサービスを構成する
sc_create 新しいサービスを作成する
sc_delete 既存のサービスを削除する
sc_description 既存のサービスの説明を変更する
sc_start 既存のサービスを開始する
sc_stop 既存のサービスを停止する
schtaskscreate 新しいスケジュールされたタスクを作成します(xml定義を介して)
schtasksdelete 既存のスケジュールされたタスクを削除する
schtasksstop 実行中のスケジュールされたタスクを停止します
setuserpass ユーザーパスワードを設定する
shspawnas 新しく生成されたプロセスにコードを挿入するという誤った試み

はい、schtasksrunがありません。はい、それは意図的なものですが、誰かがそれを引っ張った場合、私はこちら側でそれを受け入れます。

貢献

このリポジトリは、単一のタスクウィンドウプリミティブを対象としています。つまり、複数回の呼び出しが必要な場合でも、スケジュールされたタスクを作成するのが適切です。

インプラントを事前に生成し、リポジトリ内のBOFを使用して自動移動を実行しようとするコマンドはすばらしいですが、このリポジトリに直接送信するのには適していません。

コードの期待

  • デフォルトのmakefileを使用すると、コードはエラーなしでコンパイルされます。
  • 関数を解決するための新しいBOF定義は、src / common/bofdefs.hに配置されます。
  • コードは、デフォルトのMakefile(単一のentry.cファイル)を使用して一緒にコンパイルされます
  • コードは同様に既存のツールチェーン(mingw)と互換性があります
  • コードはCで記述されます。これは、コードを標準化することと、コードを検証することに対する私の個人的な自信です。

貢献者として何を期待するか

あなたの貢献が受け取られた後、それは詳細なコードレビューとテストを受けます。テストが完了した後、コードに問題がなくなるまで、結果に基づいて0回以上の変更要求があります。その時点でリポジトリに受け入れられ、githubユーザー名がクレジットリストに追加されます(追加したくない場合や他のハンドルを使用したくない場合は、お知らせください)