KuwaitiSt/Astral_Projection

## 星体投射 - UDRL Astral Projection 是一个 Cobalt Strike UDRL（用户自定义反射加载器），用于执行高级模块覆盖。 该 UDRL 使用 `LoadLibraryExW` 加载模块并进行覆盖。在休眠期间，它会取消映射模块但保持 PEB 条目完整，然后重新映射一个全新的模块以在休眠时避免任何 IOC。 本项目基于 [Crystal Palace](https://tradecraftgarden.org/crystalpalace.html) 构建。部分代码借鉴自 [Crystal-Kit](https://github.com/rasta-mouse/Crystal-Kit) 项目。 详细技术博客文章可在此处找到：[here](https://kuwaitist.github.io/posts/Astral-Projection/) ### 配置文件 - 在 Malleable C2 中禁用 sleepmask 和阶段混淆。 ``` stage { set sleep_mask "false"; set cleanup "true"; transform-obfuscate { } } post-ex { set cleanup "true"; set smartinject "true"; } ``` - 将 `crystalpalace.jar` 复制到 Cobalt Strike 客户端目录。 - 加载 `Astral_Projection.cna`。

标签：Cleanup, Cobalt Strike, Crystal-Kit, Crystal Palace, JS文件枚举, LoadLibraryExW, PEB 操作, Reflective Loader, SEO 关键词, Sleep Mask, SmartInject, Stage Obfuscation, 代码生成, 内存映射, 内存驻留, 反取证, 可执行文件 stomping, 安全评估, 客户端加密, 攻击诱捕, 数据收集, 模块替换, 模块注入, 渗透测试工具, 隐蔽加载