CobaltWhispers 项目使用教程
CobaltWhispers CobaltWhispers is an aggressor script that utilizes a collection of Beacon Object Files (BOF) for Cobalt Strike to perform process injection, persistence and more, leveraging direct syscalls (SysWhispers2) to bypass EDR/AV 项目地址: https://gitcode.com/gh_mirrors/co/CobaltWhispers
1. 项目目录结构及介绍
CobaltWhispers 项目的目录结构如下:
CobaltWhispers/
├── src/
│ ├── CobaltWhispers.cna
│ ├── LICENSE
│ └── README.md
└── ...
目录结构说明
src/: 包含项目的主要源代码文件。 CobaltWhispers.cna: 这是项目的主要启动文件,包含了 Aggressor 脚本代码。 LICENSE: 项目的许可证文件,通常包含 MIT 许可证。 README.md: 项目的说明文件,提供了项目的概述、使用方法和编译说明。2. 项目的启动文件介绍
CobaltWhispers.cna
CobaltWhispers.cna 是 CobaltWhispers 项目的主要启动文件,它是一个 Aggressor 脚本,用于在 Cobalt Strike 中执行各种操作,如进程注入、持久化等。该脚本利用了 Beacon Object Files (BOF) 和直接系统调用(SysWhispers2)来绕过 EDR/AV。
主要功能
进程注入: 支持多种进程注入技术,如CreateRemoteThread、QueueUserAPC、MapViewOfSection 等。
持久化: 提供了多种持久化方法,如通过注册表键值实现持久化。
绕过 EDR/AV: 利用 SysWhispers2 和 InlineWhispers2 实现直接系统调用,绕过 EDR/AV 的检测。
3. 项目的配置文件介绍
CobaltWhispers 项目没有明确的配置文件,但其功能和行为可以通过 CobaltWhispers.cna 脚本中的参数进行配置。以下是一些常见的配置参数:
进程注入参数
Parent process: 指定要设置为父进程的进程名称。 Executable location: 指定用于启动新进程的可执行文件的完整路径。 Process PID: 指定远程进程的进程 ID。 Payload location: 指定载荷在磁盘上的位置。 Payload b64: 指定 Base64 编码的原始 shellcode。 Listener: 指定用于生成载荷的监听器。持久化参数
Key name: 指定注册表键的名称。 Command: 指定当注册表键被使用时要执行的命令。 Registry key: 指定注册表键的创建位置。 Hidden: 指定是否在键名前添加空字节以隐藏键。 Cleanup: 指定是否删除创建的注册表键。通过这些参数,用户可以根据具体需求配置 CobaltWhispers 的行为。
CobaltWhispers CobaltWhispers is an aggressor script that utilizes a collection of Beacon Object Files (BOF) for Cobalt Strike to perform process injection, persistence and more, leveraging direct syscalls (SysWhispers2) to bypass EDR/AV 项目地址: https://gitcode.com/gh_mirrors/co/CobaltWhispers
总结
### CobaltWhispers 项目使用教程总结**项目概述**:
CobaltWhispers 是一个利用 Cobalt Strike Beacon 对象文件(BOF)的攻击者脚本,旨在执行进程注入、持久化等操作,并通过直接系统调用(SysWhispers2)绕过 EDR/AV 安全防御。该项目提供了一种灵活的方式,利用 Cobalt Strike 的能力进行高级网络攻击和渗透测试。
**目录结构及介绍**:
- **src/**:包含项目的主要源代码文件,具体有:
- **CobaltWhispers.cna**:主要启动文件,包含执行各种操作的 Aggressor 脚本代码。
- **LICENSE**:项目的许可证文件,一般包含 MIT 许可证。
- **README.md**:项目说明文件,概述项目功能、使用方法及编译说明。
**主要启动文件介绍(CobaltWhispers.cna)**:
- **功能**:该脚本通过结合 Beacon Object Files 和直接系统调用,支持多种高级攻击技术:
- **进程注入**:支持多种注入方法,如使用 `CreateRemoteThread`、`QueueUserAPC`、`MapViewOfSection` 等技术。
- **持久化**:提供通过注册表等机制实现持久化攻击路径的方法。
- **绕过 EDR/AV**:利用 SysWhispers2 和 InlineWhispers2 实现直接系统调用,有效绕过 EDR(端点检测与响应)和 AV(杀毒软件)的检测。
**配置说明**:
CobaltWhispers 没有独立的配置文件,其功能和行为通过 `CobaltWhispers.cna` 脚本中的参数进行调整。常见配置参数包括:
- **进程注入参数**:
- 指定父进程名称、可执行文件路径、远程进程ID、载荷在磁盘上的位置、Base64 编码的原始 shellcode 及生成载荷的监听器。
- **持久化参数**:
- 指定注册表键的名称、创建位置、要执行的命令、是否隐藏键及是否在完成后清理键。
**项目地址:**
- 项目可访问的 GitCode 地址:[https://gitcode.com/gh_mirrors/co/CobaltWhispers](https://gitcode.com/gh_mirrors/co/CobaltWhispers)
**结论**:
CobaltWhispers 是一个强大的 Cobalt Strike 扩展脚本,为安全研究人员和渗透测试人员提供了高级的网络攻击能力,尤其适合绕过现代安全防御机制。通过合理配置和使用,用户可以灵活执行各种高级攻击技术,深入探索目标网络的安全漏洞。