Powershella lubią admini, programiści, a najbardziej hakerzy. Będąc natywną powłoką systemów Windows nie rzuca się w oczy, jednocześnie dając ogromne możliwości ofensywne. Podczas prelekcji Paweł zaprezentuje zarówno skuteczne one-linery jak i wielolinijkowe skrypty, które mogą siać spustoszenie w nieprzygotowanej organizacji. Pojawią się ciekawe kanały C2, malware napisany w całości w Powershellu, wyszukiwanie i eksploitacja słabo skonfigurowanych serwerów MSSQL etc.100% mięsa.
Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
"Powershell kung-fu" - Paweł Maziarz
1. Paweł M azi ar z
h ttps : //ap t mas t er c las s . c om
h ttps : // i mmun i ty -s ys tems . c om
Kraków 04.06.2019
Powershell kung-fu
c zyli j ak wykr aś ć h as ła w s tylu AP T
2. Rozdział I: Fabuła
Jes teś zn any
j ako Dar k Vin ci
i dos tałeś
zlec en i e n a
zdobyc i e h as ła
d omen ow ego
j edn ego z
pr ac own i ków
f i r my St eam
C or p – Wik t or a
V. Jego h as ło
pozwoli
zalogować s i ę
do ter mi n ala,
dzi ęki
któr emu. . .
Vincent Gates
Lucius Torvalds
Steam Jobs
4. whois Paweł Maziarz
• Ojciec Dark Lorda / Dark Vinci
• Współojciec Immunity Systems
• Trener APT Masterclass
• Blogger? (https://aptm.in/)
Zainteresowania:
• Socjotechnika
• Bezpieczeństwo fizyczne
(RFID, zamki)
• Złośliwe oprogramowanie,
honeypoty
• Kowalstwo, piece rakietowe
5. Rozdział II: Rekonesans
- s y s t e m o p e r a c y j n y :
a k t u a l i z o w a n y
W i n d o w s 10
- w i ę k s z o ś ć i n ż y n i e r ó w
w f i r m i e w y k o r z y s t u j e
G i t h u b a , p a s t e b i n a
- w y c h o d z ą c y r u c h
H T T P / H T T P S , F T P
j e s t m o n i t o r o w a n y
- w o r g a n i z a c j i u ż y w a ny
j e s t O u t l o o k
6. Rozdział III: Plan A
- Dostarczenie: phishing
z dokumentem Excela
i złośliwym makrem
- Payload: monit o hasło
- Eksf iltracja: wysyłka
hasła mailem
- Narzędzie egzekucji:
Powershell
7. Rozdział IV: Powershell
- Dos t ęp ny n a k ażdym
n ow ym Wi n d ows i e
- O g r omn e możliw oś ci –
j ęzyk s kr yptowy dla .N ET
- Koch any p r zez r ed i blu e
teamy – t on y pr ojek t ów
- O pen s ou r ce, cr os s
plat for m
9. Rozdział VI: Phishing i złośliwe makro
Sub Workbook_Open
Shell "powershell -enc
YwBhAGwAYwAuAGUAeAB
lAA=="
End Sub
10. Rozdział VI: Phishing i złośliwe makro
Sub Workbook_Open
Shell "cmd /c powershell -enc
YwBhAGwAYwAuAGUAeABl
AA=="
End Sub
11. Przerzucili Wiktora do grupy
VIP. Nie ma dostępu do poczty,
ruch do publicznych hostów po
TCP i UDP zablokowany. Od
czasu do czasu ktoś przynosi
mu coś na USB. W załączeniu
schemat wycinka sieci.
Jeszcze jedno, Wiktor stał się
wyczulony na kwestie
bezpieczeństwa.
13. Rozdział VII: Plan B
- Na r z ę d z i e e g z e k u c j i :
P o w e r s h e l l
- Pay l o a d : k e y l o g g e r,
p o d s ł u c h i w a n i e s c h o w k a
- E k s f i l t r a c j a : D N S , I C M P
- D o s t a r c z e n i e : p e n d r i v e ,
k t ó r y j e s t p e n d r i v e m
- P r e z e n t y o d s i e b i e :
o w s z e m ; >