StealthyWMIExec.py — ディスクに触れないWMIベースのステルス実行ツール

Security
StealthyWMIExec.py — ディスクに触れないWMIベースのステルス実行ツール

StealthyWMIExec.py — ディスクに触れないWMIベースのステルス実行ツール

ImpacketをベースにしたWMI経由のコマンド実行を「ディスクに触れずに」行うことを目的としたスクリプト。SMBサーバを経由したペイロード提供やハッシュ認証(Pass-the-Hash)・Kerberosオプションなどを備え、検出難易度を下げる工夫が施されています。レッドチームや侵害対応の検証で有用なツールですが、誤用は重大なリスクを伴います(約300字)。

https://github.com/Ghaleb0x317374/StealthyWMIExec.py

概要

本リポジトリは「StealthyWMIExec.py」という、Impacketを利用したWMI(Windows Management Instrumentation)ベースのリモートコマンド実行ツールです。主眼は「ディスクに書き込まずに」コマンドを実行することにあり、SMBサーバを用いたペイロード供給やハッシュ認証、Kerberos対応などのオプションを提供します。従来のwmiexecスタイルからの改良で、攻撃や検証の際に現場での検出を低減させることを目的としています。使用はレッドチームや侵害検知の検証に限定すべきで、悪用は法的・倫理的問題を引き起こします(約300字)。

GitHub

リポジトリの統計情報

  • スター数: 4
  • フォーク数: 2
  • ウォッチャー数: 4
  • コミット数: 5
  • ファイル数: 3
  • メインの言語: Python

主な特徴

  • ImpacketベースでWMI/DCOM経由の遠隔コマンド実行を実装
  • ディスクに書き込まない実行フローを目指した設計(メモリ実行またはリモート供給)
  • SMBサーバ指定オプションによりペイロードをリモート提供可能
  • Pass-the-Hash(-hashes)やKerberos(-k, -aesKey)などの認証方式をサポート

技術的なポイント

StealthyWMIExec.pyはImpacketライブラリのWMI/DCOM機能を活用して、標準的なwmiexec系の手法をより「ステルス」に近づけることを目的としています。ImpacketはPythonでWindowsのリモート管理プロトコル(SMB、DCERPC、WMIなど)にアクセスできるため、本スクリプトはリモートでコマンドを投げ、結果を回収する部分をImpacketに委任します。オプションを見ると、-smbIPでSMBサーバを指定できるため、実行時にターゲットへローカルにファイルを落とす代わりにSMB経由でペイロードを提供し、ディスク書き込みを回避する設計が推測されます。また、-hashesによるNTハッシュ指定や-k/-aesKeyによるKerberos連携をサポートしているため、資格情報の多様な持ち方に対応しつつアクセスを確保できます。-codecや-com-versionなどのオプションは、コマンドエンコードやCOMバージョンの微調整を行い、通信の互換性や検出回避のための調整が可能です。検出面ではWMI/DCOM呼び出しやSMBアクセスのログが残るため完全に痕跡を消せるわけではありませんが、従来のサービス作成やファイルドロップを伴う手法より足跡は小さくなります。利用者はログ監視(WMIイベント、DCE/RPC、SMBアクセス、特権使用)や最小権限の運用でリスクを低減すべきです。(約700字)

プロジェクトの構成

主要なファイルとディレクトリ:

  • README.md: file
  • StealthyWMIExec.png: file
  • StealthyWMIExec.py: file

まとめ

Impacketを活用したWMIベースの「ディスクに触れない」リモート実行ツール。検証用途で有用だが運用・倫理に注意。

リポジトリ情報:

READMEの抜粋:

StealthyWMIExec.py

A stealthier approach to WMI-based command execution using Impacket without touching the disk.

StealthyWMIExec

sudo python3 StealthyWMIExec.py "domain/user:password@target" 'command' -smbIP SMBserver -hashes ":NTHash"

Help :

usage: StealthyWMIExec.py [-h] [-debug] [-codec CODEC] [-com-version MAJOR_VERSION:MINOR_VERSION] [-smbIP SMBIP] [-hashes LMHASH:NTHASH] [-no-pass] [-k] [-aesKey hex key]
                          [-dc-ip ip add...