红队之间的合作越来越受欢迎,系统管理员也越来越了解工具和技术,因此避免检测是一项艰巨的任务。另一方面,红队一直在寻找使用合法流量或Windows标准功能来隐藏其活动的命令和控制工具。本机Windows脚本宿主引擎可用作另一种命令和控制方法,在2017年拉斯维加斯Bsides展出,并发布了一个工具来协助此活动。
Koadic Framework由Sean Dillon 和Zach Harding开发,基于JavaScript和VBScript,因为它使用的是Windows脚本宿主(WSH)。因此,它可以在从Windows 2000到Windows 10的多个Windows环境中使用。他们没有PowerShell的旧系统或者可能运行旧版本的ASP.NET,因此与基于PowerShell的其他工具相比,它可以使用作为更可靠的解决方案。
Koadic速度快,噪音小,并且能够在内存中提供有效载荷。
默认情况下,Koadic配置为使用Microsoft HTML Application作为stager,唯一的要求是设置本地IP地址。其他阶段涉及使用rundll32和regsvr32。此外,与许多其他命令和控制工具一样,它支持加密通信以实现更隐蔽的方法。
需要从命令提示符对目标执行以下命令:
通过指定Zombie ID,Koadic可以与主机进行交互:
Koadic正在使用一些着名的用户帐户控制(UAC)绕过Matt Nelson来执行提升。
将创建一个新会话,但这次会提升:
也可以使用cmdshell和zombie ID在目标上执行命令。
该框架有许多插件,可用于执行各种活动,如:
- 收集密码哈希值
- 绕过UAC
- 执行端口扫描
- 杀死杀毒软件
- 文件传输
- 执行shellcode
- 执行网络钓鱼
使用以下种植体可以轻松地在多个目标上执行端口扫描:
打开的端口将显示为绿色:
也可以尝试通过密码框从普通用户窃取密码。然而,这将破坏红队参与过程中隐身的目的。
将向用户显示的脚本提示:
参考
https://github.com/zerosum0x0/koadic