新聞中心
關(guān)于WindowSpy
WindowSpy是一個(gè)功能強(qiáng)大的Cobalt Strike Beacon對(duì)象文件,可以幫助廣大研究人員對(duì)目標(biāo)用戶的行為進(jìn)行監(jiān)控。該工具的主要目標(biāo)是僅在某些目標(biāo)上觸發(fā)監(jiān)視功能,例如瀏覽器登錄頁(yè)面、敏感文件、vpn登錄等。目的是通過防止檢測(cè)到重復(fù)使用監(jiān)視功能(如屏幕截圖)來提高用戶監(jiān)視期間的隱蔽性。

創(chuàng)新互聯(lián)建站成立于2013年,我們提供高端成都網(wǎng)站建設(shè)、成都網(wǎng)站制作公司、網(wǎng)站設(shè)計(jì)、網(wǎng)站定制、全網(wǎng)整合營(yíng)銷推廣、小程序開發(fā)、微信公眾號(hào)開發(fā)、網(wǎng)站推廣服務(wù),提供專業(yè)營(yíng)銷思路、內(nèi)容策劃、視覺設(shè)計(jì)、程序開發(fā)來完成項(xiàng)目落地,為成都履帶攪拌車企業(yè)提供源源不斷的流量和訂單咨詢。
除此之外,該工具還能夠大大節(jié)省紅隊(duì)研究人員在篩選用戶監(jiān)控?cái)?shù)據(jù)時(shí)所要花費(fèi)的時(shí)間。
工具運(yùn)行機(jī)制
每次檢測(cè)到Beacon之后,BOF都會(huì)在目標(biāo)上自動(dòng)運(yùn)行。BOF附帶了一個(gè)硬編碼的字符串列表,這些字符串在窗口標(biāo)題中很常見,例如登錄、管理員、控制面板、vpn等。我們可以自定義此列表并重新編譯。它枚舉可見的窗口,并將標(biāo)題與字符串列表進(jìn)行比較,如果檢測(cè)到其中任何一個(gè),它將觸發(fā)WindowSpy.cn中定義的名為spy()的本地aggressorscript函數(shù)。默認(rèn)情況下,它會(huì)進(jìn)行屏幕截圖。我們可以根據(jù)需要自定義此功能,例如按鍵記錄、WireTap、網(wǎng)絡(luò)攝像頭等。
spy()函數(shù)支持接收一個(gè)參數(shù),即$1(觸發(fā)該行為的Beacon ID)。
工具安裝
首先,廣大研究人員需要使用下列命令將該項(xiàng)目源碼克隆至本地:
git clone https://github.com/CodeXTF2/WindowSpy.git接下來,將項(xiàng)目中的WindowsSpy.cna腳本加載進(jìn)Cobalt Strike即可。
源碼構(gòu)建
首先,在Visual Studio中打開WindowSpy.sln解決方案文件。
然后針對(duì)目標(biāo)BOF(x64/x86)構(gòu)建代碼即可。
工具使用
加載完成之后,每當(dāng)檢測(cè)到Beacon時(shí)該工具都會(huì)自動(dòng)運(yùn)行,并相應(yīng)地觸發(fā)對(duì)應(yīng)的操作。
項(xiàng)目地址
WindowSpy:【GitHub傳送門】
網(wǎng)站標(biāo)題:如何使用WindowSpy實(shí)現(xiàn)對(duì)目標(biāo)用戶的行為監(jiān)控
轉(zhuǎn)載注明:http://m.5511xx.com/article/coiicsp.html


咨詢
建站咨詢
