TaskHound: выпущен опенсорсный инструмент для пентестов и аудита задач Windows
NewsMakerПарсит XML задач через SMB, находит привилегированные учётки и готовит экспорт в BloodHound.
Разработчик под ником 0xr0BIT выпустил новый инструмент для аудита безопасности Windows — TaskHound. Он предназначен для поиска задач планировщика, которые работают с привилегированными правами или используют сохранённые учётные данные, что делает их ценными целями для атакующих.
TaskHound перечисляет задания через SMB, анализирует их XML-описания и выделяет опасные элементы. Особое внимание уделяется задачам уровня Tier-0: от имени администраторов домена, контроллеров и других ключевых учётных записей.
Результаты можно экспортировать в форматы BloodHound и BloodHound Community Edition для построения графов атак. Программа автоматически определяет формат и использует встроенные механизмы для поиска «высокоценных» задач.
Инструмент включает анализ паролей: дата изменения проверяется относительно даты создания задачи. Это позволяет понять, можно ли использовать сохранённые данные для атак с DPAPI-дампами.
Поддерживается офлайн-режим — анализ ранее собранных XML без подключения к хостам. Для C2-сред предусмотрена отдельная BOF-реализация, совместимая с AdaptixC2.
Аутентификация возможна через пароль, NTLM-хэши или Kerberos. Вывод доступен в формате текста, JSON и CSV. Кроме того, сохраняются исходные XML-файлы, которые можно разобрать повторно.
Среди экспериментальных возможностей — проверка статуса Credential Guard через удалённый реестр. Разработчик предупреждает, что эти функции небезопасны для боевых систем и протестированы только в лабораторных условиях.
С точки зрения OPSEC TaskHound использует библиотеку impacket для SMB/RPC/Kerberos-операций. Это оставляет стандартные индикаторы. Чтобы снизить риски, автор советует работать через BOF-реализацию или анализировать XML офлайн.
В планах — модуль NetExec, автоматическое извлечение credential-blob для офлайн-расшифровки и поддержка пользовательских карт Tier-0. Также рассматривается интеграция с OpenGraph для наглядной визуализации цепочек атак.
Разработчик подчёркивает: TaskHound создан для аудита и обучения. Использовать его можно только в средах, где получено разрешение владельца инфраструктуры.
Разработчик под ником 0xr0BIT выпустил новый инструмент для аудита безопасности Windows — TaskHound. Он предназначен для поиска задач планировщика, которые работают с привилегированными правами или используют сохранённые учётные данные, что делает их ценными целями для атакующих.
TaskHound перечисляет задания через SMB, анализирует их XML-описания и выделяет опасные элементы. Особое внимание уделяется задачам уровня Tier-0: от имени администраторов домена, контроллеров и других ключевых учётных записей.
Результаты можно экспортировать в форматы BloodHound и BloodHound Community Edition для построения графов атак. Программа автоматически определяет формат и использует встроенные механизмы для поиска «высокоценных» задач.
Инструмент включает анализ паролей: дата изменения проверяется относительно даты создания задачи. Это позволяет понять, можно ли использовать сохранённые данные для атак с DPAPI-дампами.
Поддерживается офлайн-режим — анализ ранее собранных XML без подключения к хостам. Для C2-сред предусмотрена отдельная BOF-реализация, совместимая с AdaptixC2.
Аутентификация возможна через пароль, NTLM-хэши или Kerberos. Вывод доступен в формате текста, JSON и CSV. Кроме того, сохраняются исходные XML-файлы, которые можно разобрать повторно.
Среди экспериментальных возможностей — проверка статуса Credential Guard через удалённый реестр. Разработчик предупреждает, что эти функции небезопасны для боевых систем и протестированы только в лабораторных условиях.
С точки зрения OPSEC TaskHound использует библиотеку impacket для SMB/RPC/Kerberos-операций. Это оставляет стандартные индикаторы. Чтобы снизить риски, автор советует работать через BOF-реализацию или анализировать XML офлайн.
В планах — модуль NetExec, автоматическое извлечение credential-blob для офлайн-расшифровки и поддержка пользовательских карт Tier-0. Также рассматривается интеграция с OpenGraph для наглядной визуализации цепочек атак.
Разработчик подчёркивает: TaskHound создан для аудита и обучения. Использовать его можно только в средах, где получено разрешение владельца инфраструктуры.