ezEmu – Una herramienta sencilla para la ejecución de comandos de hacking
ezEmu permite a los usuarios probar el comportamiento de hackers malintencionados a través de varias técnicas de ejecución. Algo así como un “framework ofensivo para los expertos en ciberseguridad.” ezEmu no tiene ninguna capacidad de networking/C2 y más bien se enfoca en crear telemetría de prueba local.
Uso en Windows
ezEmu es compilado como parent.exe para simplificar los árboles de procesos y rastreará (y también eliminará) los procesos secundarios para permitir búsquedas fáciles en registros/paneles.
Las técnicas de ejecución actuales incluyen:
- Cmd.exe (T1059.003)
- PowerShell (T1059.001)
- PowerShell no administrado (T1059.001)
- API CreateProcess() (T1106)
- API WinExec() (T1106)
- ShellExecute (T1106)
- Windows Management Instrumentation (T1047)
- VBScript (T1059.005)
- Windows Fiber
- WMIC XSL Script/Squblytwo (T1220)
- Macro VBA de Microsoft Word (T1059)
- Python (T1059.006)
Nota: Debes habilitar algunas configuraciones del centro de confianza relacionadas con macros para que funcione: https://support.office.com/en-us/article/enable-or-disable-macros-in-office-files-12b036fd -d140-4e74-b45e-16fed1a7e5c6. También necesitas tener Python instalado y la variable PATH configurada en # 12
