USE CASES

Az engagement minden fázisához

Az egyéni bug bounty vadászattól a vállalati red team műveletekig — az OMNI alkalmazkodik a csapat munkamódszeréhez, nem fordítva.

Önálló Kutatók
Red Team Vezetők
Biztonsági Cégek
MSSP Operátorok

Active Directory Red Team Assessment

Térképezd fel a teljes utat egyetlen kompromittált munkaállomástól a Domain Adminig. Az OMNI automatizálja a teljes kill chain-t — hitelesítők kinyerése, Kerberos-támadások, oldalirányú mozgás és ADCS-visszaélés — minden lépésnél időbélyegzett bizonyítékot hagyva.

  • Teljes AD kill chain: felhasználói asztaltól Domain Adminig, dokumentálva
  • Kerberoasting + AS-REP roasting hashcat-kész kimenettel
  • ADCS ESC1–ESC4 sebezhető tanúsítványsablon-felderítés
  • DCSync jogosultság-enumeráció: ki-tud-szinkronizálni audit
!scout# recon
!cred_kerberoast# SPN hash extraction
!lat_winrm SQLPROD → # lateral movement
!ca_enum# ADCS ESC1-ESC4 audit
ai report# CVSS v4.0 findings
Felhasználói munkaállomástól Domain Adminig dokumentált lépésekben

Ransomware Hatásvizsgálat (Vezetői Bemutató)

Mutasd meg a vezetőségnek, hogy pontosan mit titkosítana a ransomware a saját gépeken — egyetlen fájl megérintése nélkül. A dry-run mód először felsorolja az összes érintett fájlt; a visszafordítható titkosítási demó egyetlen paranccsal visszaállítható.

  • Dry-run mód: érintett fájlok megjelenítése módosítás nélkül
  • Visszafordítható titkosítási demó — teljes visszaállítás másodpercek alatt
  • Exfiltrációs szimuláció: megmutatja, milyen adatok hagynák el a hálózatot
  • Meggyőzőbb bármely prezentációnál — a saját fájljaikról van szó
!audit --dryrun --tier smart # preview only
!backup --drive C --ext docx,xlsx,pdf # exfil scope
!audit decrypt <key> # full rollback
A vezetőség látja saját fájljait 'titkosítva' — tényleges kár nélkül

Hitelesítő Adatok Expozíciója — Egyetlen Munkaállomáson

Hány hitelesítő adat nyerhető ki egyetlen átlagos irodai gépből admin jogok nélkül? A válasz általában 15–40. Az OMNI sorban futtatja az összes kinyerési modult, és minden megállapítást LOOT jelöléssel katalogizál.

  • Chrome/Edge/Brave v20 AES-GCM titkosítás megkerülése
  • DPAPI blob dekriptálás — Credential Manager, RDP, általános
  • Azure AD / Teams / MSAL OAuth token gyűjtés
  • AWS, Azure, GCP, Kubernetes, Terraform konfiguráció-átvizsgálás
  • WiFi WPA2-PSK, SSH kulcsok, PuTTY, WinSCP, FileZilla
!cred_browser # Chrome/Edge v20 bypass
!cred_vault_credman # Windows Credential Manager
!cred_azure_token # Teams + MSAL tokens
!cred_cloud --sweep # .env, appsettings, k8s
!wifi # WPA2-PSK plaintext
Jellemzően 15–40 egyedi hitelesítő kinyerve egyetlen munkaállomásból — jelszó nélkül

EDR / AV Kontroll Hatékonyság Tesztelése

Az ügyfél XDR-t futtat. Valóban észleli-e a modern technikákat? Az OMNI egy kontrollált kijátszási technika-sorozatot hajt végre — AMSI bypass, ETW elnyomás, modul-stomping BOF végrehajtás, PPID hamisítás — és pontosan mérheted, mi sült el és mi nem.

  • AMSI bypass: AmsiScanBuffer folyamaton belüli patch
  • ETW elnyomás: EtwEventWrite ntdll patch
  • BOF végrehajtás modul-stomping útján (MEM_IMAGE, nem MEM_PRIVATE)
  • PPID hamisítás: folyamat az explorer.exe alatt indítva
  • Alvás-obfuszkáció: XOR-titkosított memória C2 alvás alatt
!evade_amsi # disable scanner
!evade_etw # suppress telemetry
!bof whoami # module stomping execution
!evade_parent_spoof --parent explorer
!evade_sleep_obf # memory XOR during sleep
Pontos réslista: melyik technikát észlelte az EDR, melyik nem sült el, és mikor

Hálózati Szegmentáció és Pivot Teszt

Az ügyfél azt hiszi, hogy a DMZ és az irodai hálózat el van különítve. Az OMNI bebizonyítja vagy cáfolja ezt — SOCKS5 proxykat, port forwardokat és agent-agent SMB relayeket telepítve, hogy közvetlen internetkapcsolat nélkül elérjük az elszigetelt szegmenseket.

  • SOCKS5 proxy: proxychains / Burp / Metasploit kompatibilis
  • Port forwarding: belső célok elérése az agenten keresztül
  • SMB Named Pipe relay: belső hosztok beaconolésa internet nélkül
  • WinRM alhálózat-szkennelés: 30 párhuzamos futtatás, /24 másodpercek alatt
!socks5 1080 # SOCKS5 proxy on agent
!pivot --fwd 8888 10.0.0.5 445 # port forward
!lat_winrm --scan 10.0.0.0/24 # parallel WinRM scan
!smb_pipe # offline agent relay
"A DMZ-ből 4 ugrásban elértük az éles adatbázis-szervert"

Perzisztencia és Incidensreakció Teszt

Az ügyfél 'kitakarított' egy incidens után. Mindent megtaláltak? Az OMNI több perzisztencia-mechanizmust telepít — WMI előfizetések, LSA SSP, szolgáltatás-eltérítés — és az IR csapat feladata megtalálni mindet.

  • WMI Event Subscription: láthatatlan a fájlrendszer-szkennelők számára
  • LSA SSP DLL: minden bejelentkezéskor elfogja a tisztaszöveges hitelesítőket
  • Szolgáltatás bináris útvonal-eltérítés: meglévő szolgáltatás, új nem jön létre
  • !persist check felsorolja az összes telepített mechanizmust a debrief-hez
!persist_wmi --install # WMI subscription
!persist_lsa --inmem # LSA SSP in-memory
!persist_service --hijack SvcName
!persist check # enumerate all installed
Mérhető: hány perzisztencia-pontot talált az IR csapat, mennyi idő alatt

Privilegizált Hozzáférés Kezelés (PAM) Audit

Mennyire nehéz standard Felhasználóból Admin/SYSTEM-re emelkedni? Az OMNI !privesc szkennere minden közös utat ellenőriz — UAC bypass, idézőjel nélküli szolgáltatás-útvonalak, AlwaysInstallElevated, token-lopás — és megerősíti, melyik vektor kihasználható az adott környezetben.

  • AlwaysInstallElevated policy felderítése
  • UAC bypass: wsreset + computerdefaults (figyelmeztetés nélkül)
  • SeImpersonatePrivilege → SYSTEM Potato technikák útján
  • Idézőjel nélküli szolgáltatás-útvonalak, írható szolgáltatás-binárisok
  • Token-lopás futó SYSTEM-szintű folyamatokból
!privesc # auto scanner
!priv_uac_wsreset # UAC bypass
!priv_potato --check # SeImpersonate?
!priv_token_theft --list # SYSTEM tokens
"Minden tesztelt gépen X percen belül emelkedtünk Felhasználóból Adminra: ..."

Cloud-Ready DevOps Munkaállomás Audit

A fejlesztői gépek cloud hitelesítőket hordoznak. Az OMNI átvizsgálja az összes ismert tárolási helyet — CLI konfigok, környezeti változók, IMDS endpointok, IaC állapotfájlok — AWS, Azure, GCP, Kubernetes, Terraform és Docker esetén.

  • AWS: ~/.aws/credentials, env változók, EC2 IMDS token
  • Azure: az-cli tokenek, azureProfile.json, Azure IMDS
  • GCP: application_default_credentials.json, GCE metadata
  • Kubernetes: ~/.kube/config cluster token + tanúsítvány
  • Terraform: tfstate erőforrás-attribútumok (tisztaszöveges jelszavak)
  • Kód-aláíró tanúsítványok: PFX export privát kulccsal
!cred_cloud --aws # + EC2 IMDS
!cred_cloud --azure # + IMDS
!cred_cloud --terraform # tfstate sweep
!cred_cloud --k8s # kubeconfig
!cred_codesign --export # PFX + private key
"3 AWS access key, 2 Azure refresh token, 1 Kubernetes cluster-admin tanúsítvány egyetlen dev gépen"

Minden megállapítás reprodukálható, időbélyegzett és exportálható.

Az OMNI JSONL naplója HMAC-láncolással rögzít minden parancsot és választ — nem 'megtettük, de nem tudunk bizonyítékot mutatni', hanem konkrét időbélyegzett akciónaplót minden lépéshez.

Árak megtekintése Kapcsolatfelvétel