| Bestand | Wat het doet |
|---|
persist_skeleton_key | Skeleton Key: LSASS patchen op de DC zodat het wachtwoord “mimikatz” werkt voor elke gebruiker. Subtiel is anders. Maar het wérkt. En soms is werken belangrijker dan subtiel zijn. |
persist_adminsdholder | AdminSDHolder: jezelf toevoegen aan een object dat elke 60 minuten de ACL’s van privileged groepen overschrijft. Je rechten komen vanzelf terug. Elke uur. Als een abonnement dat je niet kunt opzeggen. |
persist_dsrm | DSRM: het Directory Services Restore Mode wachtwoord misbruiken om in te loggen op de DC. Een nooduitgang die ook als noodingang werkt. Dubbelzijdig. Praktisch. |
persist_security_descriptors | Security Descriptors aanpassen: WMI, PowerShell Remoting of registry rechten geven aan een ongeautoriseerde gebruiker. Na de eerste keer heb je geen admin-sessie meer nodig. Het is een zelf-onderhoudend systeem. |
persist_custom_ssp | Custom Security Support Provider: een DLL laden in LSASS die alle wachtwoorden in plaintext logt. Alles. Elke keer als iemand inlogt. Het is een dagboek dat de machine voor je bijhoudt. Een heel persoonlijk dagboek. |
persist_golden_cert | Golden Certificate: de CA private key gebruiken voor permanente certificaat-gebaseerde toegang. Wachtwoorden kun je resetten. Tickets verlopen. Certificaten? Die maak je zelf. Zolang je de CA-sleutel hebt. En die verander je niet zomaar. Eigenlijk verander je die nooit. |
persist_dcshadow | DCShadow: een nep-domeincontroller registreren voor stealthy AD-wijzigingen. Je schrijft direct naar de AD-database alsof je een legitieme DC bent. Geen event logs. Geen replicatie-alerts. Het is de ultieme gaslighting van een Active Directory-omgeving. |
persist_sid_history | SID History injecteren: een Enterprise Admin SID toevoegen aan een gewoon gebruikersobject. De gebruiker ziet er normaal uit. De rechten zijn allesbehalve normaal. Het is een wolf in schaapskleren, maar dan in Active Directory. |
persist_gpo_backdoor | GPO-backdoor: een script toevoegen aan een Group Policy Object dat bij elke login draait. Elke machine in de OU voert jouw code uit. Elke keer. Automatisch. Het is een abonnement op shell-toegang. En de gebruiker kan het niet opzeggen. |
persist_machine_account | Machine-accounts aanmaken die nooit verlopen. Standaard mag elke domeingebruiker 10 machine-accounts aanmaken. Die accounts hebben geen wachtwoordverloop. Het is alsof je een sleutel laat bijmaken die nooit verroest. |
persist_com_hijack | COM object hijacking: per-gebruiker registry keys die COM-objecten omleiden naar jouw DLL. Geen admin-rechten nodig. Geen detectie. Elke keer als Explorer.exe start, start jouw code ook. Het is meeliften. Op systeemniveau. |
persist_network_provider | Custom Network Provider DLL: een DLL registreren die cleartext wachtwoorden onderschept bij elke login. De gebruiker logt in. De DLL logt mee. Het is een keylogger met een diploma — geïntegreerd in het besturingssysteem. |
persist_wmi_event | WMI Event Subscriptions: code uitvoeren wanneer een WMI-event optreedt. Bij elke startup. Bij elke login. Bij elk tijdstip dat je kiest. Het is een wekker die nooit stopt met afgaan. |
persist_adidns_timebomb | ADIDNS-records pre-registreren voor toekomstige aanvalsketens. DNS-records die nu niets doen maar straks alles mogelijk maken. Het is een tijdbom. Maar dan in DNS. En niemand controleert DNS-records preventief. Niemand. |