Х
Хатка бобра
@beaverdreamer847 подп.
1.6Kпросмотров
11 мая 2024 г.
Score: 1.8K
#kerberos #potato #edr Пара статей на тему скрытности действий через Cobalt Strike в контексте Elastic EDR на примере киллчейна aspx upload -> SeImpersonatePrivilege -> lsass dump. https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part1.html https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part2.html Если кратко: - Используется кастомный лоадер https://github.com/xforcered/BokuLoader - При исполнении нагрузки aspx создается не новый процесс, а инжект в текущий - Повышение через модифицированный CoercedPotato в Reflective DLL - Альтернативное повышение через S4U2Self с последующим доступом к WinRM. - Как альтернатива дампу lsass дампается LSA через https://github.com/RalfHacker/Kerbeus-BOF. И далее тикеты кербероса используются для дальнейшего продвижения по сети.
1.6K
просмотров
839
символов
Нет
эмодзи
Нет
медиа

Другие посты @beaverdreamer

Все посты канала →
#kerberos #potato #edr Пара статей на тему скрытности действ — @beaverdreamer | PostSniper