A principio del mes de septiembre, en el blog de FireEye, Andrew Davis publicó un par de artículos bastante interesantes en los que hablaba de cómo estaba implementada la consola en las distintas versiones de Windows y de los conceptos necesarios para capturar los datos que se escriben en la misma:
https://www.fireeye.com/blog/threat-research/2017/08/monitoring-windows-console-activity-part-one.html
https://www.fireeye.com/blog/threat-research/2017/08/monitoring-windows-console-activity-part-two.html
Cómo podéis imaginar, capturar esta actividad permite algo tan útil como monitorizar el uso de programas de consola interactivos a través de RDP como el símbolo del sistema, PowerShell y, a veces, herramientas personalizadas de control de comandos y control (C2). Sin embargo, el código fuente para hacerlo no fue desvelado :(
Ante tal intransigencia de la gente de Fireye, el mismísimo Ojo de Ra (aka @EyeOfRa) desde HaNoi, VietNam, ha desarrollado WinConMon su propia versión para monitorizar la consola de Windows (a partir de Windows 8). Por supuesto tenéis disponible el código en Github y sólo necesitaréis Visual Studio 2015 (con WDK 10), Osrloader v3.0 y DbgView para montaros una PoC rápida.
Demo:
Github: https://github.com/EyeOfRa/WinConMon
https://www.fireeye.com/blog/threat-research/2017/08/monitoring-windows-console-activity-part-one.html
https://www.fireeye.com/blog/threat-research/2017/08/monitoring-windows-console-activity-part-two.html
Cómo podéis imaginar, capturar esta actividad permite algo tan útil como monitorizar el uso de programas de consola interactivos a través de RDP como el símbolo del sistema, PowerShell y, a veces, herramientas personalizadas de control de comandos y control (C2). Sin embargo, el código fuente para hacerlo no fue desvelado :(
Ante tal intransigencia de la gente de Fireye, el mismísimo Ojo de Ra (aka @EyeOfRa) desde HaNoi, VietNam, ha desarrollado WinConMon su propia versión para monitorizar la consola de Windows (a partir de Windows 8). Por supuesto tenéis disponible el código en Github y sólo necesitaréis Visual Studio 2015 (con WDK 10), Osrloader v3.0 y DbgView para montaros una PoC rápida.
Demo:
Github: https://github.com/EyeOfRa/WinConMon
Comentarios
Publicar un comentario