🙏🙏🙏Didier Stevens🙏🙏🙏

Cobalt Strike Tools

这是针对蓝队的 Cobalt Strike 工具集。
所有这些工具也可以在GitHub和我的DidierStevensSuite.zip文件中找到。
请注意,这些工具不仅有一个帮助选项 (-h),而且还带有一个嵌入式手册页:-m。

1768.py

这是一个分析 Cobalt Strike 信标的工具。如果您从我的GitHub 存储库中获取它,请确保包含文件1768.json

1768_v0_0_14.zip ( http )

  • MD5:6E8494125F4DDB044556182C8A196DD1

  • SHA256:D8CFCC735666D90BB160E30C7AD7100B0520FAC2929277E7B1DAD1CFFD0B3EC8

    cs-analyze-processdump.py

    这是分析 Cobalt Strike 信标的进程内存转储的工具,这些信标使用睡眠掩码在睡眠时对其可写进程内存进行异或编码。

    cs-analyze-processdump_V0_0_3.zip ( https )

  • MD5:46C232F594CF67272A915985AFDFE839

  • SHA256:84EBC79B9CC5764E7D8C85DCBADEE49F09ABF6F19962A0D9C505703F82675B23

    cs-decrypt-metadata.py

    这是解密 Cobalt Strike 信标的“签入 cookie”(元数据)的工具。
    它需要文件1768.json

    cs-decrypt-metadata_V0_0_4.zip ( https )

  • MD5:50C8AEFA1A1A507012BE72C71C449818

  • SHA256:CAFCCE9A8897C257AE39259D3F444E0F40473BF0D9590DC1A035316EBDDBBC84

    cs-extract-key.py

    这是一个从信标的进程内存转储中提取网络流量加密密钥的工具。

    cs-extract-key_V0_0_4.zip ( https )

  • MD5:451D73C0963C91E11AE043AD82A96FCD

  • SHA256:5D21C796CA2F7D115D291E2C4DAE713EF87601B663FCF7EFF06D91B447A52528

    cs-parse-traffic.py

    这是一个解密和解析信标网络流量的工具。

    cs-parse-traffic_V0_0_5.zip ( http )

  • MD5:CFF6D97E816B23065F051D91B0F101A6

  • SHA256:69763EB4D3A163824B417A0E23131B318F5E97198F255ECE449A65D4360C6302