REDsystem - OS&tools оператора REDteam

[KAJIT]

Пикчу юзали отсюда → https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet

И так что-тут у нас…

Данным постом коротко презентуем целую экосистему софта разработанную с учетом особенностей работы оператора REDteam. Разработка ведется уже долго и в текущем виде система готова к бою. Этот пак предназначен для узкого круга лиц - цена соответствующая и кол-во юзеров ограничено десяткой. Наберем и закроем топ. ( по цене разбег от 20к )

Деплой системы - только на вдс! "Клиент" (что так же целая система в докер контейнере) возможно будет продаваться и отдельно - но детали позже.Пока скрины и немного инфы, постепенно будем наполнять. Думаю в данный момент все полностью пришло к тому, к чему наверное и должно было прийти. Была оффлайн версия, была веб. С одной стороны, они практически не отличались. С другой - были совершенно разные по принципу работы и основной цели. Сейчас - химера приобрела устойчивые черты. Абсолютно точно теперь вижу и знаю вектор развития этого "гибрида". Значимое отличие оффлайн версии от веб, была Физика. Это генерация псевдорандомных виртуальных мащин, которые, по моим, pafish, systeminfo, всем найденным мной тестам - не отличимы от реальных. К тому же, как вы наверное поняли, изначальная их задача - наеб антифрод систем. Не малое количество времени потребовалось чтобы догнать как проксировать всю систему. Бразуры - браузеры в принципе остались, на данный момент - не у дел. По крайней мере в векторе будущего развития. Естественно он будет поддерживать уровень, которого никогда не смогут достигнуть известные личности. Причина одна - мне нравится то, что я делаю. Остальным, которые пытаются продать плохо сделанную ВМ, к тому же под завязку напичканную вирусами и троянами - нравится обманывать лохов и просто новичков. Этот шаг (вывесить в паблик) логично было сделать очень давно. Не получилось - я очень придирчив к себе и тому, что я делаю. Пока я не понял что симбиоз, который сейчас есть, работает как нужно, причем работает с минимальным количеством глюков (без них, к сожалению или к счастью - никак), работает четко так, как я(пока) этого хочу, я не мог и подумать написать подобный пост. Однозначно еще есть над чем поработать, точнее будет всегда, но то, что я увидел сейчас - меня однозначно улыбнуло =) Путешествовать мультисистемно, оставаюсь максимально серым и неприметным - дело пары кликов. Найти в доступных шарах нужную инфу - несколько кликов. Уже не помню что такое детект, и я очень рад этому. Это позволяет сконцентрироваться на других вещах, хотя полезные нагрузки раз за разом становятся более осмысленные, они все чаще предугадывают поведение синих. И это не может не нравится. В общем. Каждый день я буду добавлять то, что не могу вспомнить сразу. А в конце назову цену. Хех =) И она меня тоже порадует XD

Что имеем →>> полностью готовый образ системы содержащий в себе :
(все компонеты протестированны и готовы к работе из коробки)

-Переписанный на 50% проценнтов Cobalt Strike 4.3 c целым арсеналом скриптов и BOFов. Маяки перекомпилируются при каждом запуске клиента, для "чистоты ствола". Нежно собраные malleable c2 profile. Вообщем там целый комбаин, fr0m_RUss1a_w1th_l0ve ( + ХВНЦ и стиллер заточнеый под сбор кредов с таргета (ниже список того что может эта крошка)

Небольшой списочек доступных команд)

Спойлер: Commands

- GREEN: ApiOnly, Housekeeping
- BLACK: BOF
- PURPLE: Fork&Run, Fork&RunOrTargetEvplictProcess, DllSpawn
- RED: ProcessEvecution, ProcessSpawnAndInject, ProcessRemoteInject, ProcessOrServiceCreation

-Command Description
--------- ------------
-adfsdump A C# tool to dump all sorts of goodies from AD FS
-argue Spoof arguments for matching processes
-assembly Alias for execute-assembly
-autoppid Automatically finds suitable PPID and sets it (target: low-priv: explorer.exe, priv: svchost.exe )
-AV_Query Queries the Registry for AV Installed
-blockdlls Block non-Microsoft DLLs in child processes
-browserpivot Setup a browser pivot session
-cancel Cancel a download that's in-progress
-cd Change directory on host. Use '-' to get back to previous cwd.
-check_function Read in-memory API function call, compare to on-disk DLL and patch bytes from on-disk DLL.
-checkin Call home and post data
-chromedump Recover credentials from Google Chrome
-clear Clear beacon queue
-clipboard_monitor This will monitor a victims clipboard for changes - may be useful for credentials
-connect Connect to a Beacon peer over TCP
-covertvpn Deploy Covert VPN client
-cp Copy a file
-cpipe execute cmd or payload via pass-the-hash
-curl Performs a web request against target server and port
-dcsync Extract a password hash from a DC
-desktop View and interact with target's desktop
-dllinject Inject a Reflective DLL into a process
-dllload Load DLL into a process with LoadLibrary()
-domainenum list usersaccounts in the current domain
-download Download a file
-downloads Lists file downloads in progress
-driversigs checks drivers for known edr vendor names
-drives List drives on target
-dumpert Create a minidump of lsass process
-elevate Spawn a session in an elevated context
-etw Start or stop ETW logging.
-execute Execute a program on target (no output)
-execute-assembly Eexecute a local .NET program in-memory on target (tries to locate assembly if not found)
-exit Terminate the beacon session
-getdomain Return Beacon joined domain name.
-getpid Gets PID of a process.
-getprivs Enable system privileges on current token
-getsystem Attempt to get SYSTEM
-getuid Get User ID
-getversion get windows major.minor.build version
-hashdump Dump password hashes
-help Help menu
-helpx Lists available commands and colors each command based on its type
-home Change current directory to the user's home directory
-import-mailsniper Loads MailSniper.ps1 using powershell-import
-import-powerup Loads PowerUp.ps1 using powershell-import
-import-powerupsql Loads PowerUpSQL.ps1 using powershell-import
-import-powerview Loads PowerView.ps1 using powershell-import (dev)
-import-thehash Loads Invoke-TheHash.ps1 using powershell-import
-inject Spawn a session in a specific process
-inject-ub inject beacon using urbanbishop technique
-injector execute-assembly remote process injection utility
-inline-execute Run a Beacon Object File in this session
-internal_monologue Invoke a local procedure call to the NTLM authentication package, grab password hash
-inveigh Spoofer and man-in-the-middle tool designed to assist penetration testers/red teamers
-ipconfig runs an internal ipconfig command
-jobkill Kill a long-running post-exploitation task
-jobs List long-running post-exploitation tasks
-jump Spawn a session on a remote host
-kerberos-purge Purges in-memory Kebreros tickets completely using a few methods
-kerberos_ccache_use Apply kerberos ticket from cache to this session
-kerberos_ticket_purge Purge kerberos tickets from this session
-kerberos_ticket_use Apply kerberos ticket to this session
-keylogger Start a keystroke logger
-kill Kill a process
-launch-inveigh Launches InveighZero with specified (or default) options.
-launch-monologue Launches InternalMonologue attack by Elad Shamir to retrieve NetNTLMv2 hashes while unprivileged.
-launch-powerup Loads PowerUp.ps1 using powershell-import and then issues Invoke-AllChecks
-launch-rubeus Launches Rubeus assembly with options specified (or 'triage' if none were given).
-launch-seatbelt Launches SeatBelt assembly with options specified (or '-group=system' if none were given).
-launch-sharpdpapi Launches SharpDPAPI assembly with options specified.
-launch-sharphound Launches SharpHound assembly with options specified (or '-c All' if none were given).
-launch-sharpshares Launches SharpShares scanner (by Mitch Moser) that will look for accessible SMB shares within entire Domain.
-launch-sharpup Launches SharpUp assembly with options specified.
-launch-sharpwmi Launches modified SharpWMI (able to retrieve WMI command output) assembly with options specified.
-launch-watson Launches Watson assembly with options specified.
-link Connect to a Beacon peer over a named pipe
-listdns lists dns cache entries
-logonpasswords Dump credentials and hashes with mimikatz
-ls List files
-make_token Create a token to pass credentials
-mimikatz Runs a mimikatz command
-mkdir Make a directory
-mockdiruacbypass Creates a mock trusted directory and moves an auto-elevating Windows executable into the mock directory.
-mode dns Use DNS A as data channel (DNS beacon only)
-mode dns-txt Use DNS TXT as data channel (DNS beacon only)
-mode dns6 Use DNS AAAA as data channel (DNS beacon only)
-mv Move a file
-net Network and host enumeration tool
-netshares list shares on local or remote computer
-netsharesAdmin list shares on local or remote computer and gets more info then standard netshares(requires admin)
-netstat Synopsis: List listening and connected ipv4 udp and tcp connections
-netuser list user info
-netview lists local workstations and servers
-note Assign a note to this Beacon
-nslookup internally perform a dns query
-patch_function Read in-memory API function call, compare to on-disk DLL and patch bytes from on-disk DLL.
-portscan Scan a network for open services
-powerpick Execute a command via Unmanaged PowerShell
-powershell Execute a command via powershell.exe
-powershell-clear Clear the imported PowerShell script from a Beacon session.
-powershell-import Import a powershell script
-ppid Set parent PID for spawned post-ex jobs
-printscreen Take a single screenshot via PrintScr method
-ps Show process list
-psc Show detailed information from processes with Established TCP connections.
-psh Show detailed information from a specific process id (object handles, tcp connections e.g.).
-psinject Execute PowerShell command in specific process
-psk Show detailed information from the windows kernel and loaded driver modules.
-psm Show detailed information from a specific process id (loaded modules, tcp connections e.g.).
-psw Show Window titles from processes with active Windows.
-psx Show detailed information from all processes running on the system.
-pth Pass-the-hash using Mimikatz
-pwd Print current directory
-read_function Read in-memory API function call, compare to on-disk DLL and patch bytes from on-disk DLL.
-Recon-AD-AllLocalGroups Use ADSI to query a computer for all localgroups.
-Recon-AD-Computers Use ADSI to query Active Directory computer objects and attributes.
-Recon-AD-Domain Using Active Directory Domain Services to enumerate domain information.
-Recon-AD-Groups Use ADSI to query Active Directory group objects and attributes.
-Recon-AD-LocalGroups Use ADSI to query a computer for specific localgroups.
-Recon-AD-SPNs Use ADSI to query Active Directory user objects with Service Principal Names (SPN) configured.
-Recon-AD-Users Use ADSI to query Active Directory user objects and attributes.
-reg Query the registry
-remote-exec Run a command on a remote host
-rev2self Revert to original token
-rm Remove file or folders.
-routeprint prints ipv4 routes on the machine
-rportfwd Setup a reverse port forward
-rportfwd_local Setup a reverse port forward via Cobalt Strike client
-rubeus Executes Rubeus assembly
-run Execute a program on target (returns output)
-runas Execute a program as another user
-runasadmin Execute a program in an elevated context
-runu Execute a program under another PID
-safetykatz Creates minidump of lsass, loads custom mimikatz, steals creds, deletes minidump
-screenshot Take a single screenshot
-screenwatch Take periodic screenshots of desktop
-searchsessions Searches all connected drives for PuTTY private keys and RDP connection files and parses them for relevant details.
-seatbelt performs a number of 'safety checks' from both offensive and defensive perspectives.
-setenv Set an environment variable
-sharpcom Execute's commands via various DCOM methods as demonstrated by (@enigma0x3) C#
-sharpdomainspray Takes a password then finds users in the domain and attempts to authenticate to the domain with that given password
-sharpersist Windows persistence toolkit written in C#
-sharpexcel4_dcom Lateral movement using Excel 4.0 / XLM macros via DCOM (direct shellcode injection in Excel.exe)
-sharpexec Offensive security C# tool designed to aid with lateral movement.
-sharpfruit Aid Penetration Testers in finding juicy targets on internal networks without nmap scanning.
-sharphound Uses graph theory to reveal the hidden and often unintended relationships within an Active Directory environment.
-sharpprinter C# tool to enumerate all visible network printers in local network
-sharpsniper Simple tool to find the IP address of users, must have read privs on DC
-sharpup Privilege Escalation Checks
-sharpview C# tool to gain network situational awareness on Windows domains.
-sharpweb Retrieve saved logins from Google Chrome, Firefox, Internet Explorer and Microsoft Edge.
-sharpwmi SharpWMI is a C# implementation of various WMI functionality.
-shell Execute a command via cmd.exe
-shinject Inject shellcode into a process
-shspawn Spawn process and inject shellcode into it
-sleep Set beacon sleep time
-socks Start SOCKS4a server to relay traffic
-socks stop Stop SOCKS4a server
-spawn Spawn a session
-spawnas Spawn a session as another user
-spawnto Set executable to spawn processes into
-spawnu Spawn a session under another process
-spoolsystem Gets SYSTEM via spoolss
-Spray-AD Perform a Kerberos password spraying attack against Active Directory.
-spunnel Spawn and tunnel an agent via rportfwd
-spunnel_local Spawn and tunnel an agent via Cobalt Strike client rportfwd
-ssh Use SSH to spawn an SSH session on a host
-ssh-key Use SSH to spawn an SSH session on a host
-static_syscalls_apc_shspawnSpawn process and use syscalls to execute custom shellcode launch with Nt functions (NtMapViewOfSection -> NtQueueUserApc).
-static_syscalls_apc_spawnSpawn process and use syscalls to execute beacon shellcode launch with Nt functions (NtMapViewOfSection -> NtQueueUserApc).
-static_syscalls_dump Use static syscalls to dump a given PID and save to disk
-static_syscalls_inject Use static syscalls to execute CRT beacon shellcode launch with Nt functions.
-static_syscalls_shinject Use static syscalls to execute custom shellcode launch with Nt functions.
-steal_token Steal access token from a process
-stracciatella Runs mgeeky/Stracciatella Powershell runspace being even safer version of powerpick.
-stracciatella-activedirectoryPre-Loads ActiveDirectory Powershell module and executes specified command in Stracciatella.
-stracciatella-clear Clears stracciatella's imported script information.
-stracciatella-import Imports a powershell script that will be later used by Stracciatella commands.
-stracciatella-remote Runs Stracciatella against a remote machine.
-stracciatella-script Preloads a specified Powershell script and launches given command with parameters.
-stracciatella-timeout Sets timeout for named pipe read operation conducted by Stracciatella while awaiting for input script. Should be greater than Beacon's sleep parameter.
-syncall Syncs all downloaded files into local filesystem.
-syscalls_inject Use syscalls from on-disk dll to execute CRT beacon shellcode launch with Nt functions.
-syscalls_shinject Use syscalls from on-disk dll to execute custom shellcode launch with Nt functions.
-syscalls_shspawn Use syscalls from on-disk dll to spawn process and execute custom shellcode launch with Nt functions.
-syscalls_spawn Use syscalls from on-disk dll to spawn process and execute CRT beacon shellcode launch with Nt functions.
-timestomp Apply timestamps from one file to another
-unhook remove hooks from DLLs in this process
-unlink Disconnect from parent Beacon
-unqoutedpath Outputs a list of unquoted service paths that aren't in System32/SysWow64 to plant a PE into.
-upload Upload a file to specified remote location.
-userenum List computer user accounts
-watson Enumerate missing KBs and suggest exploits
-whoami run this to get the info from whoami /all without starting cmd.exe
-windowlist list visible windows

- Генератор виртуальных машин ( мы зовем его Физика ). Заслуживает длинющего и отдельного описания. При использовании меняеть все отпечатки системы под те что удобны для Ваше текущей операции. Наши виртуалки имеют женские имена, и вообще мы любим девочек красивых и разных, заметно, да?

- Готовая к использованию песочница для тестов Ваших покемонов (BoomBox). Динчек - go home. Дефолт куку-шка юзает win7(это не серьезно) - наш BoomBox катает твоего пикачу через десятку. Если ты решил что умешь писат малаварку, BoomBox раскажет тебе что это не так или не раскажет

- Kain - система, выкачивающая данные. Это просто чертов насос, дорогие друзья. На вход NTLM хэши сам ходит по шарам и дербанит то что вы укажите. Грамотная работа с сетю через UDP-порт, Вы же не любите когда во время секса Вас прерывают? - вот и Каин не любит, потому он трахает сеточку нежна выкачивая барахло через UDP =)

- Аbuser - Это милое создание несущее смерть ( в виде Ваших - свеже-скомпилированых беконов или любой другой исполняемой нагрузки) и лутает все что может найти. Придставитель семйства BOFов

- getlanding - парсит любой сайт и разворачивает лендинг для вас. На выходе получите - приятно редактируемый код и архив прям распаковываешь в /var/www/html. Каеф. Пару команд и продаваны лендосов гуд бай))

- Пачки скриптов, которые pwn-нят IOT и разворачивают прокси для вас на все что нисполал Господь! Не каких больше покупок обгаженых проксей проданных в три руки. Запускаешь - и один(а) из миллионов TV\Кофеварок\Роутеров\etc становится твоим рабом и послужно служит.

-Deployer - развертывание инфраструктуры С2 и прочих компонентов системы в автоматическом режиме.Сильно сэкономит ваше время при маневрах. Пара команд и вы снова дома.

Как Вам такой рекламный слоган? "Не нравится Деф? Софос? ЕщеЧеТоТакое? У Вас сессия с правами админа? А может быть Вы даже легко добрались до ДомейнАдмина, с помощью автоматичского Bloodhound'а (easy blood в консоле бикона, уже идет в стоке нашей системы), парсера, и команд в терминале системы bloodreport и bloodwin? Круто! Просто сделайте прививку с нашим новым допингом - хвнц - и отрубите его нах, кликом мышки, со всеми куками и логинами неудачника-сисадмина) нет ничего проще

#/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Что умеем:

...и имеем: в арсенале фулл-фетиш-фарш. Начну с того, что нужен будет дедик, где взять такой же по цене 70 евро в месяц - подскажу (покупателям) так-же в принциеп можем поделится и другими источниками расходников = )

Дэд не особо мощный, но для баш-скриптов потянет: 256ГБ рам, 2х500ГБ raid, 12CPU (xХУЙзнаетСКОЛЬКОноПИЗДЕЦмощно threads) и, конечно че 1GB ETHERNET. на любителя в общем)

Внутри:

...не скажу что прям лакшери, баш, cpp, python наверное не для этого все-таки. Они, как бы это сказать, заточены под руки. Но наборчик вполне себе, смотрите сами (как и говорил позже подробнее, нет времени):

- начну с того, что биконы - уникальны каждый запуск. Ресурсы взяти с официальных бинарников мелкомягких, код запутан (п@здец как запутан), детектов совсем ноль. Рекомпиляция - в процессе запуска...

Соответственно при запуске покажет че-как-куда-кому. Не ошибетесь, ибо складирует под правильными именами. Это весьма важно. Блин, чуть не забыл -
Соответственно при запуске покажет че-как-куда-кому. Не ошибетесь, ибо складирует под правильными именами. Это весьма важно. Блин, чуть не забыл - имено так же спизжены у мелкомягких, в процесс-менеджерах и ав естественно фулл-расклад от мелкомягких, мол свои:

...ну и остальные прелести, о которых позже. клиент внутри системы показывает свои ясные ... десктопы по нажатию CS в правом-верхнем. Да и вообще интерфейс не хуже яблочного по юзабельности и ебабельности ;-) баш, х@ле, он такой..

Скрипто .cna (вроде перл) своих куча, разработки, так сказать, велись под пулеметным огнем. отточено вери-велл. Свои стиллери, туннели, шеллы, персисты и прочее...

А хде пруф? а пруф нам обеспечивает несравненная Cuckoo'а сэндбоксина, которая, впрочем на моих биконах, почему-то крашится))) Чего не сказать о "локерах" других популярных авторов. Будут спорить выложу этот позор)))) Говорить не буду, думаю этот человк сейчас немного занервничал ;-)

Внутри также абсолютно чистенькие, каждый раз новенькие и уникально-неуникальные (все в общем олл-райт, от реальной такчки не отличить) - ПРИВЕТ ВЕХТОР - виртуалки, которые генерируются из любого исошника, проходят любые проверки, как софтовые, так и хард. ВЕХТОР вроде испугался подобного пару раз, ну по крайней мере в его чате мою аву банят сходу ;-) Эту штукку любовно оттачивал даже больше, чем "веб-версию". Прокси-шмокси-мульти-акки и прочее - олл-инсайд. Как и сказал (а словам свои я верю, да и не только лишь я) - любая проверка любым софтом. Ну скрины ниже короче ;-)

Щмеб-ртц и прочие гадости недоступны к пониманию антифродам, так как они не в java-коде браузера. Для этого использован ряд мер, в которы вошли: файрволл на уровне ядра линукс - iptables, сисстл, резолвконфиг, айпи-роут да и дохера всего, даже не вспомнить)

Заботой не обошел и реестр винды (да-да, не буду тут пуху накидывать, я не пехтор какой-нибудь, всегда прямо и честнл), без него никуда. В реестре в этом прописано все как надо, при загрузке винды загружаются скомпилированные в процессе создания ВМ библиотки, которые и обеспечивают кристальную чистоту Вашей созданной машинке). Мульти-аккаунт, как можно догадаться - конечно уже java. Так как "железо" в процессе создания новых изолированных профилей браузера так не поменять. Но для принятия антифродами правильных решений. этого с головой ;-)

Собачка (Bloodhound), также любезно равернута ( а также интегрированна в кобу - одно заклинание и данные потекут ) и готова к работе под Ваши нужды. Подробнее про нее чуть позже

В общем, ждите, все будет ;-) но чуть позже. занимаюсь непрерывным творчеством, так сказать =) По цене: по цене дорого. Нескромно дорого, ибо окупить затраты вполне реально в считанные дни ;-) Естественное не огурцам, а людям, кто понимает зачем и что покупает. Поддержка - фулл, естественно.

На этом не прощаюсь, всем хорошего настроения и успехов! =) учите баш - язык шибанг! ;-)

ЗЫ: не могу без ЗЫ я, внизу, внутри системы, для тех кому интересно (а это будут спрашивать в первую очередь) вовсе не красные дни календаря моих дамочек, а нагрузка cpu(красным) и загруженность канала(белым, сейчас не разглядеть, ибо уверенный гигабит в любых условиях)..

В след выпусках раскажу про защиту периметра нашей системы.
Так как... (см пикучу ниже)

( и как говорит мой друг - это фильм снимает ваш любимый ливанский хостер )
и поэтому чтоб смело лутать креды, нужно... хм вообщем вы поняли xDD

 

[Apocalypse]

Тебя хак что ли укусил? Опять аниме, опять коба, опять куча непонятного текста про линуксы и баш, как всё это круто боруто наруто или на что вы там дрочите. Борщ с кофе наливает и битки домой в конвертах приносит.

 

[KAJIT]

Ценю тебя котяра. Без тебя былб тухло совсем xDDD
зы - заметь я не говорю про то что мы юзаем превадные заклинания
все можно замутит, мы такие же, как и любой из вас - из костей и мяса.
Вы тоже можте все сами и фуд и сетки крыть, автоматизируя атаки.
ток вот почему то, редко кто хочет потно трудится над результатом
и качать скилл.

 

[marmalade]

Слушай, Apocalypse у каждого свой стиль, я например профессорские очки одеваю когда пишу, а парни просто в одном и том же варезнике обои на рабочий стол брали. Может оно передается по видео, к слову сказать, я кавайностью никогда не увлекался, слишком это от жизни на улицах далеко, но в теме... тентакли это же оттуда?
KAJIT а портфолио, покажете-с-с-сссэээээрЪ?

 

[LockBitSupp]

Зачем продавать такую прелесть, когда можно использовать самому?

 

[Kelegen]

Нескромный вопрос

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/56252/

А эт что было ?

 

[KAJIT]

А эт что было ?

Ашибся

Зачем продавать такую прелесть, когда можно использовать самому?

Мы ищем не клиентов, а партнеров скорее.
В поиске тех кто понимает, зачем все это и почему так дорого.

KAJIT а портфолио, покажете-с-с-сссэээээрЪ?

Приходи расскажу

 

[weaver]

Закрыто на депозит! KAJIT внеси депозит в размере стоимости вашего софта.

 

[Pernat1y]

Закрыто по просьбе ТС, т.к. не актуально.