安全矩阵

 找回密码
 立即注册
搜索
查看: 922|回复: 0

MrKaplan!红队隐藏和清除痕迹工具

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-12-10 10:01:24 | 显示全部楼层 |阅读模式
idov31 Hack分享吧 2023-12-08 04:20 发表于湖南

工具介绍

MrKaplan是一款旨在帮助红队成员尽可能隐藏和清除痕迹的工具。它的工作原理是保存运行时间、用户名、文件快等信息,并将计算机“恢复”到MrKaplan运行之前的样子。

注:使用前建议先看下源码都执行了哪些操作!!!


工具功能

  1. 停止事件日志记录
  2. 清除文件项目
  3. 清除注册表项目
  4. 可以为多个用户运行
  5. 可以以用户和管理员身份运行(强烈建议以管理员身份运行)
  6. 可以保存文件的时间戳
  7. 可以排除某些操作并将工件留给蓝色团队
复制代码


工具使用

在计算机上开始操作之前,请使用“开始”标志运行MrKaplan,并在完成操作时使用“结束”标志再次运行它。

注:在使用结束标志重新运行之前,请不要删除MrKaplan-Config.json文件,否则MrKaplan将无法使用该信息。



IOCs
  1. 访问wiki页面中提到的工件的Powershell进程
  2. Powershell导入奇怪的base64 blob
  3. 执行令牌操作的Powershell进程
  4. MrKaplan的注册表项:HKCU:\Software\MrKaplan
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 23:31 , Processed in 0.012666 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表