Post

[Windows] Seatbelt

Posted Updated
By Nairpaa 2 min read

Seatbelt adalah tool berbasis C# yang secara otomatis mengumpulkan data enumerasi dari host.

Tool ini dapat memeriksa konfigurasi keamanan seperti info OS, AV, AppLocker, LAPS, logging PowerShell, audit policies, versi .NET, konfigurasi firewall, dan lainnya.

1
2
3

beacon> execute-assembly C:\Seatbelt.exe -group=system

PS> .\Seatbelt.exe -group=system

Jika dari hasil enumerasi tersebut diketahui bahwa ada proxy web yang digunakan, maka ini mungkin berimplikasi untuk HTTP(S) C2 karena berbagai alasan, seperti:

0x1 - Web Categorisation

Vendor (dalam hal ini penyedia proxy) biasanya mengkategorikan nama domain untuk tujuan penyaringan. Misalnya, segala sesuatu yang dikategorikan sebagai “gambling”, “drugs”, “violence”, atau “social media” dapat diblokir.

Jika domain yang digunakan untuk operasi Red Team termasuk ke dalam kategori yang diblokir, maka domain tersebut tidak efektif lagi untuk digunakan pada jaringan target.

Terdapat dua stategi untuk mengatasi ini, yaitu:

  1. Menggunakan domain yang sudah berada dalam kategori yang diinginkan.
  2. Meminta perubahan kategori untuk domain kepada vendor terkait.

Ada beberapa situs web yang bisa kita gunakan untuk memeriksa kategori web pada domain, seperti Bluecoat, IBM Xforce, dan McAfee. Tool Chameleon dapat membantu mengotomatiskannya.

0x2 - HTTPS Offloading

Beberapa organisasi akan melakukan SSL offloading pada traffic HTTPS. Ini memungkinkan proxy untuk mendekripsi traffic HTTPS yang masuk dan memeriksa plaintext HTTP. Lalu traffic tersebut kemudian dienkripsi kembali sebelum diteruskan ke klien.

Ini berarti bahwa traffic HTTPS C2 kita dapat diperiksa. Beberapa tools C2 (seperti Covenant) memungkinkan kita untuk mengonfigurasi certificate pinning pada implant, yang akan mencegah hal ini terjadi. Tetapi ini mungkin berpotensi proxy untuk memblokir traffic tersebut.

0x3 - Content Filtering & AV Scanning

Jika proxy dapat membaca dan memeriksa traffic HTTP(S), maka ia juga dapat men-scan konten berbahaya yang dikenal.

Fitur lain yang umum adalah memblokir unduhan dan/atau unggahan jenis file tertentu, seperti .exe, .dll, .ps1, dll, yang mungkin mempengaruhi kemampuan kita untuk men-deliver payload.

0x4 - Authentication

Banyak organisasi yang menerapkan otentikasi sebelum klien diizinkan menggunakan proxy. Ini bisa berupa basic auth, integrasi Radius atau Active Directory.

Hal ini sering berarti bahwa pengguna harus berada dalam grup domain “trusted” sebelum mereka dapat menggunakan proxy. Contohnya adalah pengguna harus tergabung pada grup Domain Users.

Dalam beberapa kasus jika kita menggunakan akun SYSTEM lokal mungkin tidak dapat terhubung ke proxy, karena tidak termasuk ke dalam grup Domain Users.

Windows Hacking, Host Reconnaissance
red team host reconnaissance windows hacking seatbelt
This post is licensed under CC BY 4.0 by the author.