Bantamは、C#で書かれた軽量のポストエクスプロイトユーティリティで、高度なペイロード生成と難読化を含んでいます。古いエクスプロイトや騒がしいサービスの悪用に頼る代わりに、Bantamはプロセスの特権を精密に制御することを可能にし、セキュリティチェックを無効にしたり、アクセスをエスカレートしたり、防御を回避したりすることができます。
Windowsでの特権昇格はしばしば運任せのように感じられます—魅力的なミスコンフィグがあるか、whoami /privの底をさらうかのどちらかです。そこでBantamが登場します。
@gellinによって開発されたこのツールは、レッドチームのメンバー、ポストエクスプロイトオペレーター、またはSeDebugPrivilegeよりも強力で、Mimikatzよりも静かなツールを求める人に最適です。
Bantamとは?
Bantamは、Windowsトークン特権管理ツールで、攻撃者がプロセストークンに割り当てられたユーザー権限を表示、操作、悪用することを可能にします。
(現実のネットワークでは見過ごされがちな)適切な特権がすでに利用可能であれば、Bantamは以下を行うことができます:
- 現在のプロセスでトークン特権を有効/無効にする
- 子プロセスでトークン特権を偽装する
- フットプリントを減らすために特権を落とす
- 適切なコンテキストでSYSTEMレベルの権限と対話する
これはDLLを注入したり、LSASSをさらったりすることではなく、トークンゲームを正しくプレイすることです。
主な機能
- 特権列挙
現在のプロセス/トークンに利用可能なすべての特権をリスト化し、デフォルトで有効なものも含みます。 - 特権の有効化
存在するが無効な特権を有効にします。例としてSeDebugPrivilege、SeImpersonatePrivilege、SeLoadDriverPrivilegeなどがあります。 - 静かなプロセス作成
選択的に修正された特権で子プロセスを生成し、検出を回避します。 - 防御回避
不要な特権を削除して行動シグネチャを最小化します。 - 外部依存なし
単一のWindows実行ファイル(Cからコンパイル)で、最小限のフットプリントです。
なぜ重要なのか
ほとんどのWindowsシステムは、ローカル管理者やサービスアカウントに高価値の特権を付与しています。たとえそれらがSYSTEMとして実行されていなくても。
これらの特権を列挙し、有効化することで、以下が可能になります:
- UACをバイパスする
- ドライバをロードする
- セッションをまたいでプロセスと対話する
- ディスクに書き込まずに持続する
- ペイロード実行前に疑わしい特権を削除することで、ユーザーランドのAVやEDRフックを回避する。
Bantamは、静かな特権昇格、持続性、またはポストエクスプロイトのピボッティングに非常に価値があります。
最終的な考え
Bantamはエクスプロイトするのではなく、有効化します。
ゼロデイからではなく、Windowsがアクセスをどのように処理するかを知ることで、多くのポストエクスプロイトの勝利が得られることを理解しているオペレーターのために作られています。
セキュリティ研究者、レッドチームのメンバー、ステルスな侵入者にとって、Bantamは鈍器のスクリプトが溢れる世界での精密なツールです。
これでクレデンシャルをダンプすることはありません。検出をすり抜け、権利をエスカレートし、見えないままでいることができます—なぜなら、どのトークンを使うべきかを正確に知っているからです。
Bantamをダウンロードするか、詳細はこちらをお読みください: