EvilWinRM

Il tool di oggi rappresenta una preziosa risorsa per chiunque si occupi di Hacking, Penetration Test e Red Teaming.

EvilWinRM è un open-source tool, scritto in ruby, che trova il suo impiego soprattutto durante la fase di post exploitation. È essenzialmente uno strumento di connessione remota che si basa sul protocollo Windows Remote Manager (che è l’implementazione di Microsoft del protocollo WS-Management basato su SOAP).

Immaginiamo uno scenario in cui l’attaccante abbia ottenuto l’hash di una password (magari estraendolo dal servizio LSASS) di un utente in possesso di privilegi elevati su un dominio Active Directory. L’attaccante potrebbe utilizzare Evil-WinRM per stabilire una connessione remota al sistema target, utilizzando l’hash della password.

Ma cosa lo rende altamente efficace e versatile?

Gestione delle sessioni: Evil-WinRM permette di aprire più sessioni contemporaneamente
Proxy Awareness: permette di bypassare eventuali restrizioni utilizzando il protocollo HTTP/HTTPS
Moduli aggiuntivi: offre una vasta gamma di moduli PowerShell per eseguire diverse operazioni
Sicurezza SSL/TLS: forza le connessioni sicure
Pass-the-hash: consente l’autenticazione tramite il metodo pass-the-hash, ampliando ulteriormente le sue capacità di pentesting