Seorang peneliti keamanan bernama Christopher Truncer telah merilis agentless RAT pasca-eksploitasi berbasis WMI yang ia buat dalam PowerShell.
Tahun lalu, Christopher Truncer telah merilis sebuah script PowerShell yang mampu melaksanakan tindakan yang berbeda menggunakan Windows Management Instrumentation (WMI), baik di lokal dan pada mesin remote. Dinamakan sebagai WMImplant, ini baru dirilis Remote Access Tool (RAT) dibangun di atas script, kata Christopher Truncer, yang merupakan peneliti keamanan dan Red teamer di Mandiant.
"WMImplant memanfaatkan WMI untuk komando dan kontrol saluran, sarana untuk melakukan tindakan (pengumpulan data, mengeluarkan perintah, dll) pada sistem yang ditargetkan, dan penyimpanan data.
Hal ini dirancang untuk menjalankan kedua interaktif dan non-interaktif. Bila menggunakan WMImplant interaktif, itu dirancang untuk memiliki menu perintah mengingatkan meterpreter, "Ungkapan Trunce
Beberapa perintah yang didukung oleh alat baru termasuk membaca isi file dan men-download file dari mesin remote, daftar file dan folder untuk direktori tertentu, mencari file pada drive yang ditentukan pengguna, dan meng-upload file ke mesin remote . Hal ini juga dapat digunakan untuk daftar proses dan memulai atau membunuh proses tertentu.
Selain itu, alat ini dapat digunakan untuk pergerakan lateral, menawarkan dukungan untuk menjalankan perintah, baris perintah dan mendapatkan output, menambahkan, memodifikasi atau menghapus nilai registri, mengaktifkan atau menonaktifkan WinRM pada host target, menjalankan skrip PowerShell pada sistem dan menerima keluaran , memanipulasi pekerjaan yg dijadwalkan, dan menciptakan, memodifikasi, atau menghapus layanan.
WMImplant juga menawarkan dukungan untuk pengumpulan data operasi (termasuk informasi tentang pengguna, sistem yang ditargetkan, lokal dan drive jaringan, alamat IP, dan program yang diinstal), untuk log off pengguna, dan untuk mematikan atau restart sistem target. Hal ini juga dapat digunakan untuk menentukan apakah pengguna jauh dari mesin dan untuk mengidentifikasi pengguna yang telah login ke sistem.
Sumber : Latest hacking News
0komentar:
Post a Comment