CobaltWhispers 项目教程
CobaltWhispers CobaltWhispers is an aggressor script that utilizes a collection of Beacon Object Files (BOF) for Cobalt Strike to perform process injection, persistence and more, leveraging direct syscalls (SysWhispers2) to bypass EDR/AV 项目地址: https://gitcode.com/gh_mirrors/co/CobaltWhispers
1. 项目介绍
CobaltWhispers 是一个用于 Cobalt Strike 的 aggressor 脚本,它利用一系列 Beacon Object Files (BOF) 来执行进程注入、持久化等操作,并通过直接系统调用(SysWhispers2)来绕过 EDR/AV 检测。该项目由 NVISO Security 的 Red Team 开发,旨在提供一种高效且隐蔽的方式来进行红队操作。
2. 项目快速启动
2.1 环境准备
在开始之前,确保你已经安装了以下工具:
MingW-w64:apt install mingw-w64
Make: apt install make
Python3
SysWhispers2
InlineWhispers2
2.2 克隆项目
首先,克隆 CobaltWhispers 项目到本地:
git clone https://github.com/NVISOsecurity/CobaltWhispers.git
cd CobaltWhispers
2.3 生成必要的文件
使用 SysWhispers2 和 InlineWhispers2 生成所需的系统调用文件:
cd SysWhispers2/
python3 syswhispers.py --preset all -o syscalls_all
cd ..
python3 InlineWhispers2.py
2.4 编译项目
使用 Makefile 编译项目:
make
2.5 加载脚本
在 Cobalt Strike 中加载 CobaltWhispers 脚本:
./agscript <host> <port> <user> <password> CobaltWhispers.cna
3. 应用案例和最佳实践
3.1 进程注入
CobaltWhispers 提供了多种进程注入方法,包括 CreateRemoteThread、QueueUserAPC 和 MapViewOfSection。以下是一个使用 CreateRemoteThread 进行进程注入的示例:
beacon> inject_remote_thread <PID> <payload_location>
3.2 持久化
通过修改注册表键值来实现持久化,例如在 HKLM:Software\Microsoft\Windows\CurrentVersion\Run 下创建一个启动项:
beacon> elevated_reg_key <key_name> <command> <registry_key>
4. 典型生态项目
SysWhispers2: 用于生成直接系统调用代码,帮助绕过 EDR/AV 检测。 InlineWhispers2: 将 SysWhispers2 生成的系统调用代码转换为适用于 BOF 的格式。 Cobalt Strike: 红队操作的主要平台,支持多种攻击和防御技术。通过结合这些工具,CobaltWhispers 提供了一个强大的框架,用于执行隐蔽且高效的红队操作。
CobaltWhispers CobaltWhispers is an aggressor script that utilizes a collection of Beacon Object Files (BOF) for Cobalt Strike to perform process injection, persistence and more, leveraging direct syscalls (SysWhispers2) to bypass EDR/AV 项目地址: https://gitcode.com/gh_mirrors/co/CobaltWhispers
总结
**CobaltWhispers 项目教程总结**CobaltWhispers 是一个专为 Cobalt Strike 红队操作设计的 aggressor 脚本套装,它通过一系列 Beacon Object Files (BOF) 实现进程注入、持久化等高级功能,并利用 SysWhispers2 提供的直接系统调用来有效绕过 EDR 和 AV 防护软件。该项目由 NVISO Security 的 Red Team 团队开发,旨在为红队安全测试人员提供强大且隐蔽的渗透测试工具。
**主要特点与优势:**
- **强大的定制化功能**:利用 Beacon Object Files (BOF) 扩展 Cobalt Strike 的操作范围,包括多种进程注入技术和持久化选项。
- **先进对抗技术**:通过 SysWhispers2 生成的直接系统调用,成功绕过 EDR 和 AV 安全软件的检测,增强隐蔽性。
- **高效易用**:提供详细的快速启动指南,包括环境准备、项目克隆、编译及 Cobalt Strike 脚本加载步骤,让安全人员轻松上手。
**项目快速启动步骤概览:**
1. **环境准备**:确保安装 MingW-w64、Make、Python3、SysWhispers2 及 InlineWhispers2。
2. **克隆项目**:通过 git 命令将 CobaltWhispers 项目克隆到本地并进入项目目录。
3. **生成文件**:使用 SysWhispers2 和 InlineWhispers2 生成必要的系统调用相关文件。
4. **编译项目**:执行 Makefile 文件编译项目。
5. **加载脚本**:将编译好的脚本加载到 Cobalt Strike 中,准备使用。
**应用案例与最佳实践演示:**
- **进程注入**:CobaltWhispers 支持多种方式如 `CreateRemoteThread`、`QueueUserAPC` 等进行进程注入,示例命令展示了如何使用 `CreateRemoteThread` 方法。
- **持久化**:通过修改注册表以实现持久化,示例展示了如何在 `HKLM:Software\Microsoft\Windows\CurrentVersion\Run` 下设置自启动项。
**典型生态项目集成:**
CobaltWhispers 受益于 SysWhispers2 和 InlineWhispers2 的紧密配合,前者用于生成直接系统调用代码,后者将这部分代码转换成与 Cobalt Strike 兼容的格式。结合钴锑击(Cobalt Strike)这一强大的红队操作平台,共同构建了一个隐蔽高效的红队工具框架。
**项目链接:**
[https://gitcode.com/gh_mirrors/co/CobaltWhispers](https://gitcode.com/gh_mirrors/co/CobaltWhispers)
此教程为安全测试人员提供了全面的指南,帮助他们充分利用 CobaltWhispers 实现更深层次的渗透测试和安全评估。