0xr0BIT создал TaskHound для аудита. Или для атак. Зависит от того, кто его запустит

TaskHound планировщик аудит dpapi bloodhound
0xr0BIT создал TaskHound для аудита. Или для атак. Зависит от того, кто его запустит
TaskHound планировщик аудит dpapi bloodhound

Парсит XML задач через SMB, находит привилегированные учётки и готовит экспорт в BloodHound.

image

Разработчик под ником 0xr0BIT выпустил новый инструмент для аудита безопасности Windows — TaskHound. Он предназначен для поиска задач планировщика, которые работают с привилегированными правами или используют сохранённые учётные данные, что делает их ценными целями для атакующих.

TaskHound перечисляет задания через SMB, анализирует их XML-описания и выделяет опасные элементы. Особое внимание уделяется задачам уровня Tier-0: от имени администраторов домена, контроллеров и других ключевых учётных записей.

Результаты можно экспортировать в форматы BloodHound и BloodHound Community Edition для построения графов атак. Программа автоматически определяет формат и использует встроенные механизмы для поиска «высокоценных» задач.

Инструмент включает анализ паролей: дата изменения проверяется относительно даты создания задачи. Это позволяет понять, можно ли использовать сохранённые данные для атак с DPAPI-дампами.

Поддерживается офлайн-режим — анализ ранее собранных XML без подключения к хостам. Для C2-сред предусмотрена отдельная BOF-реализация, совместимая с AdaptixC2.

Аутентификация возможна через пароль, NTLM-хэши или Kerberos. Вывод доступен в формате текста, JSON и CSV. Кроме того, сохраняются исходные XML-файлы, которые можно разобрать повторно.

Среди экспериментальных возможностей — проверка статуса Credential Guard через удалённый реестр. Разработчик предупреждает, что эти функции небезопасны для боевых систем и протестированы только в лабораторных условиях.

С точки зрения OPSEC TaskHound использует библиотеку impacket для SMB/RPC/Kerberos-операций. Это оставляет стандартные индикаторы. Чтобы снизить риски, автор советует работать через BOF-реализацию или анализировать XML офлайн.

В планах — модуль NetExec, автоматическое извлечение credential-blob для офлайн-расшифровки и поддержка пользовательских карт Tier-0. Также рассматривается интеграция с OpenGraph для наглядной визуализации цепочек атак.

Разработчик подчёркивает: TaskHound создан для аудита и обучения. Использовать его можно только в средах, где получено разрешение владельца инфраструктуры.