Koadic.

Koadic, o COM comando & control, es un rootkit post-explotación para Windows similar a herramientas como Meterpreter y Empire PowerShell.

La diferencia es que Koadic casi todas las operaciónes las realiza utilizando Windows Scripting (Ej. Jscript / VBScript) soportado en una instalación por defecto de Windows 2000 sin un conjunto de servicios (y potenciales versiones de NT4), todo hasta incluso Windows 10.

También es posible que sirva a algunos payloads completos en memoria desde el momento 0 y más alla, como utiliza comunicación criptográfica segura sobre SSL y TLS (depende del Sistema Operativo que la victima ejecute).

Koadic trata de ser compatible con Python 2 y Phyton 3.


Ejemplo.

Underc0de - Koadic Demo

  • Poseer a una pc como zombie
  • Elevación de privilegios
  • Vuelco de SAM/SECURITY
  • Escanea red local en busca de puertos SMB abiertos.
  • Pivotea a otra máquina.

Stagers.

Los stagers atacan a zombies y permiten suplantar.

Módulo Descripción
Stager/js/mshta Sirve al payload en memoria utilizando MSHTA.exe y aplicaciones HTML.
Stager/js/regsvr Sirve al payload en memoria usando regsvr32.exe COM + Scriptlets.
Stager/js/rundll32_js Sirve al payload en memoria utilizando rundll32.exe
Stager/js/disk Sirve al payload utilizando archivos en el disco.

Implantes.

Inserta trabajos en los zombies.

Módulo Descripción
implant/elevate/bypassuac_eventvwr Utiliza el exploit enigma0x3’s eventvwr.exe para bypasear el UAC en Windows 7, 8, 10.
implant/elevate/bypassuac_sdclt Utiliza el exploit enigma0x3’s sdclt.exe para bypasear UAC en Windows 10.
implant/fun/zombie Mezcla volúmenes y abre The Cranberries desde youtube en una ventana oculta.
implant/fun/voice Reproduce un mensaje en texto hablado.
implant/gather/clipboard Mantiene el contenido actual del usuario desde el portapapeles.
implant/gather/hashdump_sam Mantiene las contraseñas hasheadas desde el SAM.
implant/gather/hashdump_dc Dumpea los hashes del controlador de Dominio desde el archivo NTDS.dit
implant/inject/mimikatz_dynwrapx Inyecta un DLL reflejado-cargado para lanzar powerkatz.dll (utilizando Dynamic Wrapper X).
implant/inject/mimikatz_dotnet2js Inyecta un DLL reflejado-cargado para lanzar powerkatz.dll (@tirannido DotNetToJs).
implant/inject/shellcode_excel Ejecuta código arbitrario en la shellcode (si Excel está instalado).
implant/manage/enable_rdesktop Activa el escritorio remoto en la máquina objetivo.
implant/manage/exec_cmd Ejecuta comandos arbitrarios en la máquina objetivo, y opcionalmente recibe la salida.
implant/pivot/stage_wmi Toma una máquina zombie en otra máquina utilizando WMI.
implant/pivot/exec_psexec Ejecuta comandos en otra máquina utilizando psecex desde el sysinternals.
implant/scan/tcp Utiliza HTTP para escanear puertos TCP abiertos en las máquinas zombies de la LAN.
implant/utils/download_file Descarga archivos desde la máquina zombie.
implant/utils/upload_file Sube un archivo desde el servidor a las máquinas zombies.

Descargo de responsabilidad.

Los códigos son provistos para propósitos educacionales.

Adecuar las defensas pueden ser únicamente para desarrollar técnicas de ataques que podrán utilizar actores maliciosos.

Utilizando éste código contra sistemas sin permiso, es ilegal.

Los autores no se hacen responsables por daños o malas configuraciones de la información del código.


Agradecimientos.

Los agradecimientos especiales a los siguientes investigadores:

 


Fuente: github.com/zerosum0x0/koadic

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">