freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用WindowSpy实现对目标用户的行为监控
2023-06-02 11:55:45
所属地 广西

关于WindowSpy

WindowSpy是一个功能强大的Cobalt Strike Beacon对象文件,可以帮助广大研究人员对目标用户的行为进行监控。该工具的主要目标是仅在某些目标上触发监视功能,例如浏览器登录页面、敏感文件、vpn登录等。目的是通过防止检测到重复使用监视功能(如屏幕截图)来提高用户监视期间的隐蔽性。

除此之外,该工具还能够大大节省红队研究人员在筛选用户监控数据时所要花费的时间。

工具运行机制

每次检测到Beacon之后,BOF都会在目标上自动运行。BOF附带了一个硬编码的字符串列表,这些字符串在窗口标题中很常见,例如登录、管理员、控制面板、vpn等。我们可以自定义此列表并重新编译。它枚举可见的窗口,并将标题与字符串列表进行比较,如果检测到其中任何一个,它将触发WindowSpy.cn中定义的名为spy()的本地aggressorscript函数。默认情况下,它会进行屏幕截图。我们可以根据需要自定义此功能,例如按键记录、WireTap、网络摄像头等。

spy()函数支持接收一个参数,即$1(触发该行为的Beacon ID)。

工具安装

首先,广大研究人员需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CodeXTF2/WindowSpy.git

接下来,将项目中的WindowsSpy.cna脚本加载进Cobalt Strike即可。

源码构建

首先,在Visual Studio中打开WindowSpy.sln解决方案文件。

然后针对目标BOF(x64/x86)构建代码即可。

工具使用

加载完成之后,每当检测到Beacon时该工具都会自动运行,并相应地触发对应的操作。

项目地址

WindowSpy:【GitHub传送门

# CobaltStrike # 用户数据 # Beacon # 安全监控
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录