无需担心杀软的 Cobalt Strike 插件：免杀 .exe 生成

工具介绍

介绍一款能够在Cobalt Strike中自动化生成有效负载的侵略者脚本。

这款Cobalt Strike插件具备生成.exe文件并实现免杀的功能。

环境要求

要求使用Visual Studio 2022，并搭配.NET Framework 4.8。

工具用法

该侵略者脚本仅在指定路径中运行，即在添加新侵略者脚本时，将在Cobalt Strike的菜单栏中添加一个新的菜单按钮，路径为C:\Tools\cobaltstrike\aggressors\PG。

侵略者脚本主要用于自动生成有效负载。在此示例中，生成带有CreateThread API的C#二进制文件。

为了构建有效负载，预定值已添加到菜单选项中。由于此API仅适用于x86二进制文件，而且程序集类型为winexe，以避免控制台弹出窗口。

通过编辑PG.cna文件并将新脚本放置在文件夹中，您可以看到一个注释，明确说明如何轻松添加更多模板和脚本。

如下图所示，生成这些二进制文件需要C#项目文件。由于使用MSBUILD编译进行自动化，我尝试在Linux上添加它，但未成功。您可以根据需要自由更改它并添加更多功能，但这些默认功能已对我有用。

该示例有效负载可能会被杀毒软件检测到。建议将该路径添加到排除项中，或者使用COMMANDO VM等操作系统以避免潜在问题。它在我的Windows 11家庭工作站上成功运行，并且在此路径上排除了所有问题。此外，我添加了一些小功能，如随机变量命名，但其他功能已被硬编码，因为这是一个POC（概念验证）侵略者。建议查看参考资料，以深入了解构建过程并添加更多有效负载。

Dome