Image

Hijacking PowerShell commands: Masquerading persistence on the system

¡Hola lectores!

En el artículo de hoy hablaremos de cómo poder realizar hijacking de comandos de PowerShell orientado a hacer bypass de los AV/EDR en ejercicios de Red y Purple Team. Aunque en la siguiente entrada se ha usado esta técnica con el fin de enmascarar la persistencia en el sistema, este método puede ser utilizado para secuestrar cualquier comando de PowerShell (cmdlet) con el fin de ejecutar cualquier otro tipo de código que se desee. El flujo de ejecución que se va a emular es el siguiente:

Automatizando el descifrado de comunicaciones de Warzone RAT

¡Buenas a todos! En el artículo de hoy os traemos un análisis del RAT (Remote Access Trojan) conocido como Warzone RAT o AveMaría, el cual se trata de un MaaS (malware as a service) que se encuentra activo desde el año 2018 y es vendido por un usuario que se hace llamar “Solmyr” en la red. En los últimos años, se han ido desarrollando diferentes versiones de esta herramienta maliciosa debido al negocio tan lucrativo que supone la venta de malware, mejorando así las funcionalidades y potencia de éste conforme ha pasado el tiempo.