關(guān)于WindowSpy

WindowSpy是一個功能強大的Cobalt Strike Beacon對象文件，可以幫助廣大研究人員對目標(biāo)用戶的行為進行監(jiān)控。該工具的主要目標(biāo)是僅在某些目標(biāo)上觸發(fā)監(jiān)視功能，例如瀏覽器登錄頁面、敏感文件、vpn登錄等。目的是通過防止檢測到重復(fù)使用監(jiān)視功能（如屏幕截圖）來提高用戶監(jiān)視期間的隱蔽性。

除此之外，該工具還能夠大大節(jié)省紅隊研究人員在篩選用戶監(jiān)控數(shù)據(jù)時所要花費的時間。

工具運行機制

每次檢測到Beacon之后，BOF都會在目標(biāo)上自動運行。BOF附帶了一個硬編碼的字符串列表，這些字符串在窗口標(biāo)題中很常見，例如登錄、管理員、控制面板、vpn等。我們可以自定義此列表并重新編譯。它枚舉可見的窗口，并將標(biāo)題與字符串列表進行比較，如果檢測到其中任何一個，它將觸發(fā)WindowSpy.cn中定義的名為spy()的本地aggressorscript函數(shù)。默認情況下，它會進行屏幕截圖。我們可以根據(jù)需要自定義此功能，例如按鍵記錄、WireTap、網(wǎng)絡(luò)攝像頭等。

spy()函數(shù)支持接收一個參數(shù)，即$1（觸發(fā)該行為的Beacon ID）。

工具安裝

首先，廣大研究人員需要使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/CodeXTF2/WindowSpy.git

接下來，將項目中的WindowsSpy.cna腳本加載進Cobalt Strike即可。

源碼構(gòu)建

首先，在Visual Studio中打開WindowSpy.sln解決方案文件。

然后針對目標(biāo)BOF（x64/x86）構(gòu)建代碼即可。

工具使用

加載完成之后，每當(dāng)檢測到Beacon時該工具都會自動運行，并相應(yīng)地觸發(fā)對應(yīng)的操作。

項目地址

WindowSpy：【GitHub傳送門】