Aggrokatz ist eine Aggressor-Plugin-Erweiterung für Cobalt Strike, die es pypykatz ermöglicht, mit den Beacons zu kommunizieren. Pypykatz ist eine Implementierung von Mimikatz, großteils in Python. Cobalt Strike ist eine Bedrohungsemulationssoftware, die beispielsweise von Red Teams zur Aufklärung, nach dem Exploit oder zur verdeckten Kommunikation verwendet wird.
Die aktuelle Version von aggrokatz ermöglicht es pypykatz, LSASS-Dump-Dateien und Registry-Hive-Dateien zu analysieren und Anmeldeinformationen und andere Geheimnisse zu extrahieren, ohne dass die Dateien heruntergeladen werden müssen oder ohne Hochladen von verdächtigem Code auf dem Beacon (Cobalt Strike ist schon vorhanden). In Zukunft soll dieses Projekt zusätzliche Funktionen für verdeckte Vorgänge bereitstellen, z. B. das Suchen und Entschlüsseln aller DPAPI-Geheimnisse / Kerberoasting / etc.
Wie nutze ich Aggrokatz?
Normalerweise führt der Parser von pypykatz eine Reihe von Lesevorgängen auf der Festplatte aus. Mithilfe von aggrokatz werden diese Lesevorgänge zu einem Beacon getunnelt, mit dem der Inhalt der Remote-Datei in Blöcken gelesen werden kann. Auf diese Weise kann pypykatz alle Geheimnisse aus Dateien remote extrahieren, ohne die gesamte Datei zu lesen, und nur die erforderlichen Teile abrufen, in denen sich die versteckten Informationen befinden.