NorkNork – Script para encontrar payloads de Powershell Empire persistentes en windows

0
1980
views

Este script fue diseñado para identificar payloads persistentes de Powershell Empire en sistemas Windows. Actualmente admite comprobaciones para estos métodos de persistencia:

  • Tareas programadas
  • Ejecutar automáticamente
  • Suscripciones al WMI
  • Proveedor de soporte de seguridad
  • Facilidad de acceso al centro de backdoors
  • Desactivar contraseña de cuenta de máquina

Modo de instalación

Puedes ejecutar este script con python 2.7 o descargar el exe de pyinstaller. Ejecuta el binario o el script en una ventana powershell.

Modo de uso

Corre el script de python

PS C:\Users\>python norknork.py

Corre el binario

PS C:\Users\> .\norknork.exe

Salva los datos en un archivo txt

PS C:\Users\> .\norknork.exe

Preguntas más frecuentes
Q: ¿Por qué no creaste esto en en powershell?
R: Yo era demasiado perezoso para aprender powershell.
P: ¿Encontrará todos los métodos de persistencia?
R: No, sólo aquellos en Powershell Emprire y sólo aquellos que sean persistentes a través de reinicios.

Descarga NorkNork

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop