MrKaplan Herramienta para Ocultar Rastros en Equipos Rojos
MrKaplan Herramienta para Ocultar Rastros en Equipos Rojos
Hacking
·4 Minutos de lectura

MrKaplan: Herramienta para Ocultar Rastros en Equipos Rojos

MrKaplan es una herramienta dirigida a ayudar a los “red teamers” (equipos rojo) a permanecer ocultos y despejados tanto como sea posible. Funciona guardando información como la hora a la que se ejecutó, bajo qué usuario y “revirtiendo” el ordenador a su aspecto anterior a la ejecución de MrKaplan.

Uso de MrKaplan
Uso de MrKaplan

Características

  • Detener el registro de eventos.
  • Borrar los artefactos de los archivos.
  • Limpieza de artefactos del registro.
  • Puede ejecutarse para múltiples usuarios.
  • Puede ejecutarse como usuario y como administrador (muy recomendable ejecutarlo como administrador).
  • Puede guardar las marcas de tiempo de los archivos.
  • Puede excluir ciertas operaciones y dejar los artefactos para los equipos azules.
Tabla de Contenido

Uso de MrKaplan

Antes de comenzar tus operaciones en el ordenador, ejecuta MrKaplan con la opción begin y cuando termines ejecútalo de nuevo con la opción end.

NO ELIMINES el archivo MrKaplan-Config.json hasta que lo vuelvas a ejecutar con la opción end, de lo contrario MrKaplan no podrá utilizar la información.

Opciones y su Significado

Como ha visto en el comando de ayuda (help), hay algunas opciones con las que MrKaplan puede ejecutarse:

  • -Users: Esta opción no puede ejecutarse con -RunAsUser, la opción users permite eliminar artefactos para otros usuarios en el PC actual (el usuario actual viene por defecto y no es necesario añadirlo).
  • -RunAsUser: Esta opción no puede ejecutarse con -Users, la opción RunAsUsers permite eliminar artefactos con privilegios de usuario únicamente.
  • -EtwBypassMethod: Esta opción no puede ejecutarse con -RunAsUser, la opción EtwBypassMethod permite elegir qué método se seleccionará para detener el registro de eventos.
  • -Exclusions: Esta opción permite controlar qué evidencias no se limpiarán. Evidencias actuales soportadas:
    • eventlogs => No detener ETW.
    • pshistory => No sobrescribir el historial de PowerShell.
    • userassist => No limpiar la clave de registro UserAssist.
    • bamkey => No limpiar la clave del registro BAM.
    • inetcache => No limpiar la carpeta de caché INet.
    • windowshistory => No limpiar la carpeta del historial de Windows.
    • officehistory => No limpiar la carpeta del historial de office.
    • cryptnetcache => No limpiar la carpeta CryptNetUrlCache..
    • prefetch => No limpiar prefetches.

IOCs (Indicadores de compromiso)

  • Proceso Powershell que accede a los artefactos mencionados en la página wiki.
  • Proceso Powershell que importa extraños blob base64.
  • Proceso Powershell que realiza la manipulación de tokens.
  • La configuración de MrKaplan y la regla YARA.

Preguntas Frecuentes

¿Por qué fue creado este proyecto?

Existen muchas herramientas que pretenden no dejar rastros y re-implementan las mismas comprobaciones (y faltan algunas) para eliminar los artefactos. El propósito de esta herramienta es ser una herramienta fácil, “plug and play” para cualquier equipo rojo para hacer su vida más fácil y borrar todos los rastros con un solo comando.

¿Qué está planeado para este proyecto?

Actualmente se está trabajando en varias cosas: Añadir más artefactos, Crear una versión como módulo.

¿Por qué PowerShell?

Es un lenguaje fácil que se instala en todos los ordenadores modernos de Windows y tiene una gran integración con el sistema operativo.

Descargo de Responsabilidad

Ni EsGeeks ni el desarrollador son responsables de ninguna manera por cualquier tipo de daño que se haga a tu computadora / programa como causa de este proyecto.

https://github.com/Idov31/MrKaplan

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda