Agent health check — verzió, session, betöltött modulok, háttér-jobok

Szabályosan leállítja az agentet és bontja a C2 kapcsolatot

Listázza az összes modult; kategóriára és névre szűrhető

Megmutatja az összes aktív háttér-job állapotát

Leállít egy megadott ID-jú háttér-jobot

Vészleállítás: temp fájlok, jobok törlése, kapcsolat bontása

P2P Named Pipe relay internet-elérés nélküli belső agentekhez

Letölti és betölti a megváltozott modulokat (SHA-256 diff)

Friss PS sessionben újraindítja az agentet, automatikusan visszacsatlakozik

Adatot exfiltrál ICMP echo request payloadokba csomagolva

Mintaillesztéssel gyűjt fájlokat memóriában tárolt ZIP archívumba

Több fájl letöltése glob mintaillesztéssel egyszerre

Lekéri a Windows vágólap tartalmát; sem fájl, sem event log nyom

Böngészési előzményeket és bookmarkokat gyűjt az összes böngészőből

Memóriában tároló keylogger Win32 input API-val; nincs lemezes írás

Emaileket és mellékleteket olvas Outlook COM-on vagy .ost/.pst fájlokból

Megkeresi és felolvassa az NTFS Alternate Data Streameket

Zárolt fájlokat olvas VSS Shadow Copy pillanatképeken keresztül

Üzeneteket, fájlokat és auth tokeneket nyer ki a Teams cache-ből

Fájlt vagy teljes mappát streamel le a C2 szerverre gzip+HTTP/2-vel

DNS TXT rekord lekérdezésekben exfiltrál base64 chunkokban

Teljes böngésző loot: jelszavak, sütik, előzmények, autofill, kártyák

PNG képernyőképet készít az összes monitorról és letölti a C2-re

C2 szerver inbox mappájából tölt fel fájlt a célgépre

Hamis frissítés popup adminisztrátori jelszó begyűjtéséhez social engineering alapon

Chrome session sütiket olvas közvetlenül a folyamat memóriájából

AS-REP Roasting: kerberos pre-auth nélküli fiókokat keres, hasheket kér le

Azure AD/M365 OAuth tokeneket gyűjt az összes helyi tárolóból

Mentett bejelentkezési adatok az összes főbb böngészőből — DPAPI + AES-GCM

Teljes Windows tanúsítványtár-audit; privát kulcsos certeket exportál PFX-be

Egységes cloud credential harvester az összes főbb felhő és CLI eszközhöz

Code signing és EV/driver tanúsítványokat keres exportálható privát kulccsal

DPAPI-titkosított blobokat fejt vissza a CryptUnprotectData API-n keresztül

IIS alkalmazáskészlet-identitásokat és web.config titkokat nyer ki

KeePass adatbázisokat keres; futó KeePass memóriájából masterkulcsot olvas

SPN fiókok TGS jegyeit kéri le hashcat-kompatibilis formátumban

LSA titkos tárolóból nyer ki service account jelszavakat és DPAPI kulcsokat

LSASS memóriaképet készít offline NTLM hash és Kerberos jegy kinyeréshez

NTDS.dit adatbázist ment le a DC-ről az összes tartományi hash kinyeréséhez

SSH privát kulcsokat, PuTTY session-öket és WinSCP hitelesítőket gyűjt

A Windows Credential Manager összes bejegyzését listázza és kinyeri

Veeam Backup hitelesítőket nyer ki az SQL Express adatbázisból

Minden elmentett WiFi profil WPA2-PSK jelszavát kinyeri plaintext formátumban

Egyszerűsített WiFi credential harvester felhasználói jogosultsággal is

Teljes AD enumeration LDAP-on: felhasználók, csoportok, számítógépek, GPO-k

ADCS audit: CA-k, tanúsítványsablonok és ESC1-ESC4 sebezhetőségek

Kerberos delegáció feltárás: unconstrained, constrained, RBCD

SYSVOL-ban tárolt GPP cpassword bejegyzéseket keres és dekódol

AppLocker policy audit: szabályok, bypass útvonalak, WDAC/HVCI státusz

Felsorolja az összes meghajtót típussal, szabad/teljes mérettel

Környezeti változókat listáz; API kulcsok, tokenek, proxy beállítások keresése

Windows eseménynaplókat kérdez le; szűrhető esemény ID-ra

GPO-kat sorolja fel és kiemeli a biztonsági szempontból érdekes beállításokat

Átfogó rendszerinfo: OS, hardver, hálózat, felhasználó, AV, patch szint

Telepített szoftvereket listáz a registry-ből névvel, verzióval, dátummal

LAPS telepítést ellenőriz; ms-Mcs-AdmPwd attribútumot olvas ha van jog

Telepített hotfixeket és KB számokat listáz; hiányzó frissítéseket azonosít

Fájl/mappa ACL-eket listáz és módosít; takeown és grant műveletek

IP-alapú geolokáció + Windows Location API a fizikai helyzet becsléséhez

Futó folyamatokat listáz PID-del, felhasználóval, memóriával, paranccsal

RDP konfigurációt mutat: engedélyezett, NLA, port, aktív session-ök

Ütemezett feladatokat listáz státusszal, triggerrel, paranccsal, fiókkal

Gyors biztonsági felderítés: AV/EDR, tűzfal, UAC, Defender kizárások

Windows szolgáltatásokat listáz státusszal, indítási típussal, fiókkal

Aktív bejelentkezett felhasználókat sorolja fel WMI-n keresztül

LDAP SPN scan: Kerberoast és delegáció abuse célpontokat keres

Indítási elemeket listáz: Run kulcsok, Startup mappák, WMI subscription-ök

Aktuális process token: SID-ek, csoportok, jogosultságok, integritási szint

Helyi felhasználói fiókokat és csoporttagságokat sorolja fel

Aktuális felhasználói kontextus: SID, UPN, tartomány, Kerberos jegyek

DCSync jogosultságot ellenőriz; az összes replikációs joggal rendelkező principal

Forensic nyomokat takarít el: PS előzmények, event log bejegyzések, temp fájlok

Windows Defender és AV/EDR státuszt ellenőriz; kizárásokat listáz

AmsiScanBuffer-t patcheli az aktuális PS session memóriájában

EtwEventWrite-t patcheli az ntdll.dll-ben ETW telemetria elnyomásához

Hamisított PPID-del indít új folyamatot az UpdateProcThreadAttribute API-val

Sandbox detektálás: CPUID, VM artifaktek, process szám, interakció hiánya

PS Script Block Logging-ot tiltja le memória patch és registry módosítással

XOR-titkosítja az agent memóriát C2 sleep alatt, memória IOC szkennerektől

NTFS időbélyegzőket módosít egy legitim fájlhoz igazítva vagy véletlenszerűen

VM detektálás: CPUID, SMBIOS adatok, VM driver-ek, virtuális hardver

Evasion állapot dashboard: AMSI patch, ETW blokk, Script Block Logging

Reflective .NET assembly betöltés és végrehajtás memóriában Assembly.Load()-dal

COFF x64 BOF fájlokat hajt végre memóriában CS-kompatibilis BeaconOutput API-val

Tetszőleges PowerShell parancsot hajt végre és visszaadja az outputot

DCOM laterális mozgás COM objektumokon keresztül (nincs service létrehozás)

PSExec-stílusú laterális mozgás ideiglenes Windows service-szel SMB-n

Távoli ütemezett feladat létrehozásával hajt végre parancsot; majd törli

Fájl nélküli SMB service command chaining; nem ír PE-t lemezre

WinRM/PS Remoting laterális mozgás Invoke-Command alapon

Shellcode-ot injektál egy célfolyamat memóriájába vagy migrálja az agentet

Leválasztott, rejtett PowerShell folyamatot indít fire-and-forget futtatáshoz

Ransomware szimuláció visszafordítható RSA+AES titkosítással; tier-ek: full/large/smart

Megváltoztatja az agent aktuális munkakönyvtárát

Könyvtár tartalmát listázza mérettel, dátummal, attribútumokkal

Feltérképezi a csatlakoztatott hálózati meghajtókat és SMB leképezéseket

Kiírja az agent aktuális munkakönyvtárát

Nemrég elért fájlokat listáz Recent mappából, MRU registry-ből, Jump List-ekből

Rekurzív fájlkeresés névmintára vagy kiterjesztésre; --content grep-stílusú keresés

Könyvtárfa megjelenítése opcionális mélység-limittel és méret-összesítővel

ARP táblát mutatja (IP-MAC párosítások); --scan aktív ARP scanhez

DNS szerver konfig, helyi DNS cache, névfeloldás teszt és cache flush

DNS C2 csatorna: TXT rekordokból pollingol, A rekordokon exfiltrál

Windows Firewall profilokat, szabályokat és port összesítőt mutat

Részletes hálózati interfész konfig: IP, MAC, gateway, DNS, DHCP, típus

RDP kezelés: engedélyezés, tűzfalszabály, backdoor felhasználó, NLA kapcsolás

WinRM teljes eszközkészlet: ellenőrzés, remote exec, alhálózat scan

Aktív TCP/UDP kapcsolatokat és figyelő portokat listáz folyamatnévvel

ICMP vagy TCP SYN alhálózat sweep; --tcp 445 SMB-elérhető célokhoz

Port forwarding az agenten keresztül C2-ről nem elérhető belső célrendszerekhez

Gyors TCP port scan; portlista, top 20 vagy top 100 közös port

PS Responder: LLMNR/NBT-NS/mDNS mérgezéssel NTLMv2 hasheket fog el

Windows routing táblát mutatja: célhálózat, gateway, interfész, metrika

SMB Named Pipe C2 relay internet-izolált szegmensekben lévő agentekhez

SMB megosztásokat sorolja fel; --access tesztel tényleges olvasási hozzáférést

SOCKS5 proxyt indít proxychains/Burp/Metasploit tunnelezéshez

Távoli parancs végrehajtás WMI Win32.Process.Create-en; nincs SMB service

Intelligens perzisztencia kezelő: Run kulcs, Startup, feladat (user); service, WMI (admin)

LSA SSP DLL-t regisztrál, amely minden bejelentkezéskor betöltődik LSASS-ba

Automatikus indítású Windows service-t hoz létre SYSTEM szinten; binary hijack

WMI event subscription perzisztencia; registry/fájlrendszer scan nem találja meg

UAC bypass fodhelper.exe autoelevate-en keresztül (ms-settings shell hijack)

UAC bypass cmstp.exe autoelevate binárison keresztül (INF fájl futtatás)

Hamisított szülő PID-del indít folyamatot az UpdateProcThreadAttribute API-val

PrivEsc kereső: UAC bypass, sebezhető service-ek, token jogosultságok

AlwaysInstallElevated policy-t használja SYSTEM szintű parancs futtatásához MSI-vel

SeBackupPrivilege-t használja bármely fájl olvasásához DACL-ellenőrzés nélkül

Agentet migrál token-lopással vagy PPID-hamisított PS spawn-nal

Named Pipe impersonation: privilegizált folyamat csatlakozását várja, tokenét elveszi

Potato-stílusú SYSTEM token SeImpersonatePrivilege + Named Pipe impersonation-nel

SeRestorePrivilege-t használja bármely fájl írásához DACL-ellenőrzés nélkül

SAM/SYSTEM/SECURITY hive-okat másolja offline NTLM hash kinyeréshez

Service misconfiguration scanner: unquoted path, írható binary, gyenge ACL

Process tokeneket listáz; kiszemelt PID token-jét elveszi parancs futtatáshoz

Szál-szintű token impersonation privilegizált folyamatoktól; SYSTEM célzással

UAC bypass computerdefaults.exe-n keresztül (ms-settings shell hijack)

UAC bypass eventvwr.exe MSC fájl hijack-kal (klasszikus Win7-10 technika)

UAC bypass sdclt.exe IsolatedCommand registry értéken keresztül (Win10)

UAC bypass wsreset.exe-n keresztül (AppX shell hijack, Win10 1803+/Win11)