【基础篇】————12、隐匿攻击之Windows COM

红队之间的合作越来越受欢迎，系统管理员也越来越了解工具和技术，因此避免检测是一项艰巨的任务。另一方面，红队一直在寻找使用合法流量或Windows标准功能来隐藏其活动的命令和控制工具。本机Windows脚本宿主引擎可用作另一种命令和控制方法，在2017年拉斯维加斯Bsides展出，并发布了一个工具来协助此活动。

Koadic Framework由Sean Dillon  和Zach Harding开发，基于JavaScript和VBScript，因为它使用的是Windows脚本宿主（WSH）。因此，它可以在从Windows 2000到Windows 10的多个Windows环境中使用。他们没有PowerShell的旧系统或者可能运行旧版本的ASP.NET，因此与基于PowerShell的其他工具相比，它可以使用作为更可靠的解决方案。
Koadic速度快，噪音小，并且能够在内存中提供有效载荷。

默认情况下，Koadic配置为使用Microsoft HTML Application作为stager，唯一的要求是设置本地IP地址。其他阶段涉及使用rundll32和regsvr32。此外，与许多其他命令和控制工具一样，它支持加密通信以实现更隐蔽的方法。

需要从命令提示符对目标执行以下命令：

通过指定Zombie ID，Koadic可以与主机进行交互：

Koadic正在使用一些着名的用户帐户控制（UAC）绕过Matt Nelson来执行提升。

将创建一个新会话，但这次会提升：

也可以使用cmdshell和zombie ID在目标上执行命令。

该框架有许多插件，可用于执行各种活动，如：

• 收集密码哈希值
• 绕过UAC
• 执行端口扫描
• 杀死杀毒软件
• 文件传输
• 执行shellcode
• 执行网络钓鱼

使用以下种植体可以轻松地在多个目标上执行端口扫描：

打开的端口将显示为绿色：

也可以尝试通过密码框从普通用户窃取密码。然而，这将破坏红队参与过程中隐身的目的。

将向用户显示的脚本提示：

参考

https://github.com/zerosum0x0/koadic

https://media.defcon.org/DEF%20CON%2025/DEF%20CON%2025%20presentations/DEFCON-25-zerosum0x0-alephnaught-Koadic-C3.pdf