關于WindowSpy

WindowSpy是一個功能強大的Cobalt Strike Beacon對象文件，可以幫助廣大研究人員對目標用戶的行為進行監控。該工具的主要目標是僅在某些目標上觸發監視功能，例如瀏覽器登錄頁面、敏感文件、vpn登錄等。目的是通過防止檢測到重復使用監視功能（如屏幕截圖）來提高用戶監視期間的隱蔽性。

除此之外，該工具還能夠大大節省紅隊研究人員在篩選用戶監控數據時所要花費的時間。

工具運行機制

每次檢測到Beacon之后，BOF都會在目標上自動運行。BOF附帶了一個硬編碼的字符串列表，這些字符串在窗口標題中很常見，例如登錄、管理員、控制面板、vpn等。我們可以自定義此列表并重新編譯。它枚舉可見的窗口，并將標題與字符串列表進行比較，如果檢測到其中任何一個，它將觸發WindowSpy.cn中定義的名為spy()的本地aggressorscript函數。默認情況下，它會進行屏幕截圖。我們可以根據需要自定義此功能，例如按鍵記錄、WireTap、網絡攝像頭等。

spy()函數支持接收一個參數，即$1（觸發該行為的Beacon ID）。

工具安裝

首先，廣大研究人員需要使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/CodeXTF2/WindowSpy.git

接下來，將項目中的WindowsSpy.cna腳本加載進Cobalt Strike即可。

源碼構建

首先，在Visual Studio中打開WindowSpy.sln解決方案文件。

然后針對目標BOF（x64/x86）構建代碼即可。

工具使用

加載完成之后，每當檢測到Beacon時該工具都會自動運行，并相應地觸發對應的操作。

項目地址

WindowSpy：【GitHub傳送門】