(資料圖片僅供參考)
關(guān)于WindowSpy
WindowSpy是一個(gè)功能強(qiáng)大的Cobalt Strike Beacon對象文件���,可以幫助廣大研究人員對目標(biāo)用戶的行為進(jìn)行監(jiān)控。該工具的主要目標(biāo)是僅在某些目標(biāo)上觸發(fā)監(jiān)視功能����,例如瀏覽器登錄頁面���、敏感文件、vpn登錄等���。目的是通過防止檢測到重復(fù)使用監(jiān)視功能(如屏幕截圖)來提高用戶監(jiān)視期間的隱蔽性�����。
除此之外����,該工具還能夠大大節(jié)省紅隊(duì)研究人員在篩選用戶監(jiān)控?cái)?shù)據(jù)時(shí)所要花費(fèi)的時(shí)間��。
工具運(yùn)行機(jī)制
每次檢測到Beacon之后���,BOF都會(huì)在目標(biāo)上自動(dòng)運(yùn)行��。BOF附帶了一個(gè)硬編碼的字符串列表�,這些字符串在窗口標(biāo)題中很常見�,例如登錄、管理員��、控制面板�����、vpn等���。我們可以自定義此列表并重新編譯����。它枚舉可見的窗口��,并將標(biāo)題與字符串列表進(jìn)行比較�,如果檢測到其中任何一個(gè),它將觸發(fā)WindowSpy.cn中定義的名為spy()的本地aggressorscript函數(shù)�����。默認(rèn)情況下�����,它會(huì)進(jìn)行屏幕截圖���。我們可以根據(jù)需要自定義此功能�,例如按鍵記錄�����、WireTap、網(wǎng)絡(luò)攝像頭等�。
spy()函數(shù)支持接收一個(gè)參數(shù),即$1(觸發(fā)該行為的BeaconID)�����。
工具安裝
首先�����,廣大研究人員需要使用下列命令將該項(xiàng)目源碼克隆至本地:
git clone https://github.com/CodeXTF2/WindowSpy.git
接下來����,將項(xiàng)目中的WindowsSpy.cna腳本加載進(jìn)CobaltStrike即可。
源碼構(gòu)建
首先�,在VisualStudio中打開WindowSpy.sln解決方案文件。
然后針對目標(biāo)BOF(x64/x86)構(gòu)建代碼即可��。
工具使用
加載完成之后�����,每當(dāng)檢測到Beacon時(shí)該工具都會(huì)自動(dòng)運(yùn)行���,并相應(yīng)地觸發(fā)對應(yīng)的操作����。
項(xiàng)目地址
WindowSpy:【GitHub傳送門】
