Powershell lleva unos años de moda y cada vez más se ven herramientas en el mundo de la seguridad que hacen uso de este lenguaje de script para Windows. Por ese motivo y a modo de referencia, me gustaría compartir con vosotros algunos proyectos que hacen uso de este lenguaje para automatizar tareas en los análisis de seguridad y auditorias.
Algunas de estas herramientas son realmente prácticas y una vez nos hemos familiarizado con ellas se hace difícil hacer algunas tareas sin ellas.
El recopilatorio también es útil si queremos aprender como otros autores han solucionado problemas en este lenguaje utilizando en muchas ocasiones funciones y métodos de bajo nivel.
- https://github.com/Veil-Framework/PowerTools/tree/master/PowerUp: múltiples herramientas para la escalada de privilegios en Windows: identificación de servicios vulnerables, DLL hijacking, errores en permisos de ficheros y registro, etc. Hoy en día una herramienta básica en cualquier análisis de seguridad o hacking ético que involucre Windows.
- https://github.com/NetSPI/PEchecker: comprueba las opciones de compilación y el soporte de ASLR, DEP, SafeSEH, StrongNaming y Authenticode del ejecutable.
- https://github.com/darkoperator/Posh-SecMod: otro framework esencial que permite interactuar con shodan, metasploit, nessus, virustotal, realizar auditorías, técnicas de postexplotación o de descubrimiento. Un *must* de @carlos_perez.
- https://github.com/clymb3r/PowerShell: conjunto de scripts para manipular credenciales y tokens del sistema operativo así como invocar mimikatz.
- https://github.com/samratashok/nishang: Junto a Posh-SecMod y PowerUp, otro conjunto de scripts altamente recomendable. Las herramientas que incluye darían para una serie de entradas.
- https://github.com/mattifestation/PowerSploit: no merece la pena que lo describa en tres líneas. Es una herramienta básica que merece una entrada como mínimo. Imprescindible en la post-explotación.
- https://github.com/mmessano/PowerShell: decenas de scripts distintos para facilitar la administración de sistemas y gestionar la seguridad. Tanto unos como otros son siempre útiles.
- https://github.com/samratashok/Kautilya: herramienta para utilizar HID en los tests de intrusión. Hay una serie de posts de los que también dan para escribir media docena de entradas de resumen.
- https://github.com/davehull/Kansa: no todo es hacking en este mundo, para la respuesta de incidentes también hay opciones.
- https://github.com/silverhack/voyeur: genera un reporte del directorio activo que es útil para el análisis forense, respuestas ante incidentes o revisiones de seguridad.
- https://github.com/nullbind/Powershellery: scripts de obtención de información, como registros SPN, SQLServer o sesiones de red establecidas.
- https://github.com/curi0usJack/activedirectory: realiza una comprobación de seguridad y permite solucionar las deficiencias. https://github.com/rohnedwards/PowerShellAccessControl: es otra herramienta similar es donde se revisan ficheros, carpetas, registro, servicios, impresoras, procesos o recursos compartidos.
- Ejemplos de utilidades para el análisis del directorio activo: adSecurityChecker, psadaudits o PowerShell-AD-Recon
- https://github.com/mwjcomputing/PowerShell-Post-Exploitation-Tools: scripts para la postexplotación, con funciones para exfiltrar información por distintos canales.
- https://gallery.technet.microsoft.com/scriptcenter/GetRemoteSAM-b9eee22f: permite copiar la SAM de un sistema remoto utilizando el bien conocido método de leer el fichero del "Volume Shadow Copy"
28 comments :
Que no se te olvide el SDK de Powershell para Latch! :)
https://github.com/ElevenPaths/latch-sdk-powershell
Este post me lo guardo, que no sabes lo bien que me vienen algunos de los ejemplos.
Joder, y yo con repelús hacia el powershell... menudo arsenal xD
Yo pensaba igual que vos xD, en mi mente decía "que se joda powershell bash rulez!" Pero cuando analice el uso cada herramienta ufff
Para entornos de Active Directory, podemos configurar una política de restricción de software para evitar su ejecución:
http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html
Buenos días,
Soy José Antonio, yo puedo disponer de la solución a cryptolocker, necesito un par de archivos encriptados para su estudio, un .doc y un .pdf o .xls, con un par de archivos, puedo localizar el código de desencriptado en un par de días, o una semana depende de la complicación, en cuanto lo tenga, envío archivos desencriptados para que puedan comprobarlo.
El coste es de 225 euros por herramienta, cada herramienta es para un ordenador ya que las encriptaciones son personalizadas por cada ordenador, no se cobra nada si no se consigue.
Podéis enviarme los ficheros comprimidos con vuestros datos de contacto acomercial@bmatika.es.
¡El 95% de los casos, los hemos resuelto en 48 horas!
Telf. de contacto 933637353
Un saludo a todos.
lamentablemente a día de hoy la única solución que funciona es pagar..
He desencriptado 4 Teras, sin problemas bajándome el programa después de pagar con BitCoin, algún .pdf se ha quedado en estado erróneo, pero en general ha funcionado. La broma en cuestión ha salido por 300€.
Recomiendo si tenéis un cajero de bitcoin pagar de esa manera. no se si fiarme de las transferencias......
cuidado también con la aplicación que uséis para pagar ya que la conversión es distinta en cada una.
Buenos días,
Soy José Antonio, yo puedo disponer de la solución a cryptolocker, necesito un par de archivos encriptados para su estudio, un .doc y un .pdf o .xls, con un par de archivos, puedo localizar el código de desencriptado en un par de días, o una semana depende de la complicación, en cuanto lo tenga, envío archivos desencriptados para que puedan comprobarlo.
El coste es de 225 euros por herramienta, cada herramienta es para un ordenador ya que las encriptaciones son personalizadas por cada ordenador, no se cobra nada si no se consigue.
Podéis enviarme los ficheros comprimidos con vuestros datos de contacto acomercial@bmatika.es.
¡El 95% de los casos, los hemos resuelto en 48 horas!
Telf. de contacto 933637353
Un saludo a todos.
Kaspersky está recopilando claves de descifrado. En la siguiente web, podéis poner vuestro bucket (bitcoin wallet) y te dice si tienen tus códigos para descifrar. En caso de que los tenga, con los códigos que te dan y su programa para descifrar, podéis descifrar los ficheros, si no los tienen, podéis ir accediendo con asiduidad ya que van actualizando su base de datos de códigos:
https://noransom.kaspersky.com/
Para encontrar vuestro bucket (bitcoin wallet), debéis acceder al INSTRUCCIONES_DESCIFRADO.html que deja Cryptolocker con las instrucciones de descifrado, hacer clic en el enlace de "pagar para comprar el descifrado de los ficheros" y en la parte inferior derecha sale el bitcoin wallet.
Al meter el archivo encriptado dice que no ha sido encriptado con cryptolocker. No funciona
En www.google-spain.com, hemos desarrollado junto con una empresa de antivirus, la forma tanto de eliminar el virus como de recuperar todos los archivos encriptados.
Desencriptamos todas las versiones de cryptolocker, solo necesitamos que nos envíes un archivo encriptado .doc y otro .pdf, para visualizar el algoritmo con el que esta creado. Te reenviamos el archivo desencriptado y no tiene ningún coste por saber si se puede desencriptar, una vez tengamos la herramienta te pasaremos un presupuesto con el coste.
Ya que como ha mutado varias veces, tenemos que ver el algoritmo con el que esta encriptado, es por ello que necesitamos esos archivos, ya que son los únicos con los que podemos verlo. En principio podemos desencriptar todas las versiones de CRYPTOLOCKER
En www.google-spain.com, hemos desarrollado junto con una empresa de antivirus, la forma tanto de eliminar el virus como de recuperar todos los archivos encriptados.
Desencriptamos todas las versiones de cryptolocker, solo necesitamos que nos envíes un archivo encriptado .doc y otro .pdf, para visualizar el algoritmo con el que esta creado. Te reenviamos el archivo desencriptado y no tiene ningún coste por saber si se puede desencriptar, una vez tengamos la herramienta te pasaremos un presupuesto con el coste.
Ya que como ha mutado varias veces, tenemos que ver el algoritmo con el que esta encriptado, es por ello que necesitamos esos archivos, ya que son los únicos con los que podemos verlo. En principio podemos desencriptar todas las versiones de CRYPTOLOCKER
Email: info@google-spain.com
En www.google-spain.com, hemos desarrollado junto con una empresa de antivirus, la forma tanto de eliminar el virus como de recuperar todos los archivos encriptados.
Desencriptamos todas las versiones de cryptolocker, solo necesitamos que nos envíes un archivo encriptado .doc y otro .pdf, para visualizar el algoritmo con el que esta creado. Te reenviamos el archivo desencriptado y no tiene ningún coste por saber si se puede desencriptar, una vez tengamos la herramienta te pasaremos un presupuesto con el coste.
Ya que como ha mutado varias veces, tenemos que ver el algoritmo con el que esta encriptado, es por ello que necesitamos esos archivos, ya que son los únicos con los que podemos verlo. En principio podemos desencriptar todas las versiones de CRYPTOLOCKER
Email: info@google-spain.com
El nuevo virus Crypt0L0cker ha side "mejorado" y ya no se pueden
desencriptar los archivo en https://www.decryptcryptolocker.com/ . Es
posible sacar El virus del ordenador pero los archivos seguiran estando
Encriptados. En cuanto sepa mas informacion os aviso aquí.
Por favor, no borren sus archivos encriptados que seguro alguna solución tendremos.
Este email continua llegando, de hecho a mi me ha llegado ayer. ¿Alguna novedad para soluccionar el problema?, he perdido toda la información de 5 años de mi compañía
¿Has probado lo de Kaspersky del comentario justo encima del tuyo?
Me ha ido perfecto muchas gracias.
Buenos días,
Mi experiencia personal después de 5 meses de la infección de uno de los ordenadores de la oficina, buscar cualquier cantidad de herramientas para desemcryptar los ficheros o alguna otra empresa que me ayudara, Contacte con Jose Antonio de la empresa bmatika que están en Barcelona y por un módico precio me envió una herramienta la cual logro desencryptar todos los ficheros sin ningún problema.
Es una solución muy bien desarrollada los que podáis adquirir la herramienta os lo recomiendo a ojos cerrados.
Un saludo-
Dudo mucho que exista alguna herramienta que pueda descifrar los ficheros sin tener las claves de cifrado. La única solución, de momento, es tirar de copias de seguridad.
O pagar... Que será lo que hacen en esa empresa, cobrarte los 300$ o más para ganar ellos. OJO con el SPAM este
Hola, soy José Antonio yo tengo la solución para
desencriptar los archivos afectados por CRYPTOLOCKER: Virus de correos.
Recupere los archivos encriptados de su ordenador, red y/o
cloud.
El coste de la herramienta oscila entre los 165 y los 225
euros
No cobramos nada si no conseguimos la desencriptación.
Necesitamos que nos haga llegar 2 archivos encriptados para
su estudio a la siguiente dirección de correo soporte@bmatika.es:
Un archivo con la extensión .doc (imprescindible) y otro archivo con la
extensión .pdf. Ambos inferiores a 1 Mb.
¡El 95% de los casos los hemos resuelto en 48 horas!
Solicite información llamando al 933637353 (ATENCIÓN
PERMANENTE)
http://bmatika.es/solucion-para-cryptolocker/
Hola, soy José Antonio yo tengo la solución para
desencriptar los archivos afectados por CRYPTOLOCKER: Virus de correos.
Recupere los archivos encriptados de su ordenador, red y/o
cloud.
El coste de la herramienta oscila entre los 165 y los 225
euros
No cobramos nada si no conseguimos la desencriptación.
Necesitamos que nos haga llegar 2 archivos encriptados para
su estudio a la siguiente dirección de correo soporte@bmatika.es:
Un archivo con la extensión .doc (imprescindible) y otro archivo con la
extensión .pdf. Ambos inferiores a 1 Mb.
¡El 95% de los casos los hemos resuelto en 48 horas!
Solicite información llamando al 933637353 (ATENCIÓN
PERMANENTE)
Muchas gracias Daniel!!
Hola, soy José Antonio yo tengo la solución para
desencriptar los archivos afectados por CRYPTOLOCKER: Virus de correos.
Recupere los archivos encriptados de su ordenador, red y/o
cloud.
El coste de la herramienta oscila entre los 165 y los 225
euros
No cobramos nada si no conseguimos la desencriptación.
Necesitamos que nos haga llegar 2 archivos encriptados para
su estudio a la siguiente dirección de correo soporte@bmatika.es:
Un archivo con la extensión .doc (imprescindible) y otro archivo con la
extensión .pdf. Ambos inferiores a 1 Mb.
¡El 95% de los casos los hemos resuelto en 48 horas!
Solicite información llamando al 933637353 (ATENCIÓN
PERMANENTE)
Dejad de spamear en el foro, no hay herramienta que descifre los ficheros sin tener las claves de cifrado.
Estoy en la misma sittuación, tengo muchísismos archivos con la extensión .encrypted y ninguna de las maneras anteriores funcionan para desencriptar los archivos. Esperemos entre todos poder solucionar este tema. También he intentado lo de eliminar la extensión .encrypted y ver versiones anteriores y nada...
Nuestro departamento de ingeniería ha desarrollado una herramienta específica que consigue el descifrado de los archivos infectados por cryptolocker.
Si quieres hacer una prueba, sin ningún coste, sigue las instrucciones que indicamos en este link http://bmatika.es/solucion-para-cryptolocker/
Saludos!
Publicar un comentario