mgeeky/ElusiveMice

# ElusiveMice - 自定义 Cobalt Strike 用户定义反射式加载器 这是 [Cobalt Strike's User-Defined Reflective Loader](https://www.cobaltstrike.com/help-user-defined-reflective-loader) 的一个分支，而后者又是 [Stephen Fewer's ReflectiveDLLInjection](https://github.com/stephenfewer/ReflectiveDLLInjection) 实现的一个分支，但有一个*微小的*转折——它增加了一些轻量级的规避技术。 ## 功能特性 - 使用更改后的 API/模块名称动态解析哈希，以避免简单的签名检测 - 反射式加载器现在可以正确恢复节内存保护，并避免使用一个大的 `RWX` 分配 - `elusiveMice` 尝试将自身从内存中擦除，当内存扫描进行时，几乎不会留下 UDRL 代码的残留 ## 使用说明 1. 相应地修改您的 `arsenal_kit.config`： ``` include_artifact_kit="true" include_udrl_kit="false" include_sleepmask_kit="true" include_process_inject_kit="true" include_resource_kit="true" include_mimikatz_kit="true" rdll_size=100 artifactkit_stack_spoof="true" artifactkit_technique="mailslot" artifactkit_stage_size=424948 artifactkit_syscalls_method="indirect_randomized" sleepmask_sleep_method="WaitForSingleObject" sleepmask_mask_text_section="true" sleepmask_syscalls_method="indirect_randomized" ``` 2. 编译 arsenal kit `./build_arsenal_kit.sh` 3. 将 `bin/elusiveMice.cna` 脚本加载到您的 Cobalt Strike 中 4. 通过 `Attacks -> Packages -> Windows Stageless Payload` 或任何其他类型的 Beacon shellcode 生成您的 beacon。 5. （可选）在 `View -> Script Console` 中查看输出 可以通过修改变量来启用 CNA 脚本的 `$debug` 模式： ``` # 启用 PE 内容调试 # 如果调试为真，生成的 PE 内容将显示在脚本控制台中 #$debug = "true"; $debug = "true"; ``` 这将转储包含 Beacon 代码库的新生成的反射式 DLL 的 PE 头。 ## 其他作品 目前公开可用的_用户定义反射式加载器_实现并不多，但我所知道的优质实现包括： - [boku7's BokuLoader](https://github.com/boku7/BokuLoader) ## 作者 ``` Mariusz B. / mgeeky, 21-23 (https://github.com/mgeeky) ```

标签：AV绕过, Beacon, Chrome扩展, CMS检测, Cobalt Strike, Conpot, DNS 反向解析, FastAPI, HTTP Archive, JavaScript库检测, Shellcode加载, TGT, UML, Wappalyzer, Web技术栈分析, Windows安全, 中高交互蜜罐, 代理, 免杀技术, 客户端加密, 恶意软件开发, 技术指纹识别, 攻击诱捕, 攻防演练, 无文件攻击, 暴力破解检测, 端点可见性, 网站分析工具, 网页抓取