Nếu bạn đã tìm hiểu những tool hacking như metasploit, nmap hoặc brute force thì chắc cũng đã nghe qua về Cobalt Strike rồi nhỉ. Nói ngắn gọn thì đây là công cụ giúm thâm nhập và điều khiển máy nạn nhân. Nhưng bạn cũng có thể theo dõi hình vi của nạn nhân bằng cách chụp màn hình để biết họ đang làm gì. Tuy nhiên không phải lúc nào bạn cũng có thể theo dõi họ, nên trong bài viết này mình sẽ giới thiệu cho các bạn công cụ WindowSpy, giúp bạn tự động chụp màn hình nạn nhân khi phát hiện thông tin nhạy cảm.
Cobalt Strike là gì?
Cobalt Strike là framework dùng trong kiểm thử thâm nhập (pentest) dành cho red team (team tấn công). Các tin tặc có thể sử dụng Cobalt Strike để tạo các beacons, các beacons này đóng vai trò như đường dẫn trực tiếp vào mạng của máy tính nạn nhân. Từ đây, tin tặc có thể truy cập từ xa vào máy nạn nhân để điều khiển, thực thi lệnh và script độc hại.
Mục đích ban đầu của Cobalt Strike là công cụ dành cho red team nhưng đã xuất hiện các bản crack làm công cụ này rơi vào tay các tin tặc chuyên tấn công và phá hoại các hệ thống công cộng. Thường thì tin tặc sẽ tiến hành quét các cổng TCP 1433 để tìm các máy chủ MS-SQL và brute force tài khoản sa, tức là tải khoản quản trị hệ thống của MS-SQL. Sau đó, chúng sẽ tạo command shell bằng cmd.exe hoặc powershell.exe thông qua process sqlservr.exe và thực thi payload của Cobalt Strike.
WindowSpy là gì?
WindowSpy là file Object Beacon trong Cobalt Strike dùng để giám sát nạn nhân. WindowSpy sẽ chỉ được kích hoạt khi nạn nhân thực hiện một số hành vi nhất định như đăng nhập trên trình duyệt, mở tài liệu nhạy cảm, đăng nhập vpn,… Mục đích của WindowSpy là tăng khả năng tàng hình trong quá trình giám sát nạn nhân bằng việc không cần phải lặp đi lặp lại các hành động như chụp màn hình. Nó cũng tiết kiệm thời gian cho red team trong việc lọc ra nhiều thông tin không cần thiết, ví dụ như bạn chỉ cần biết thông tin đăng nhập Facebook thì có thể cấu hình chỉ chụp màn hình khi người dùng truy cập trang chủ của Facebook.
Mỗi khi beacons kiểm tra, BOF (Beacon Object Files) sẽ chạy trên máy của mục tiêu. BOF có một danh sách các tiêu đề cửa sổ phổ biến, chẳng hạn như đăng nhập, quản trị viên, bảng điều khiển, vpn,.. Bạn có thể tùy chỉnh danh sách này và tự biên dịch lại. Nó liệt kê các cửa sổ có thể nhìn thấy và so sánh các tiêu đề cửa sổ với danh sách trên và nếu tên cửa sổ có trong danh sách, nó sẽ kích hoạt hàm xâm nhập trong WindowSpy.cna có tên là spy(). Theo mặc định, nó sẽ chụp ảnh màn hình. Bạn có thể tùy chỉnh chức năng của hàm này theo bạn muốn, ví dụ như keylogging, WireTap, webcam,…
Cách sử dụng WindowSpy
Bước 1: Các bạn thực thi cấy beacons vào máy nạn nhân. Bạn nào không biết cách cấy thì đọc lại bài này.
Bước 2: Tải WindowSpy bằng lệnh dưới:
git clone https://github.com/CodeXTF2/WindowSpy.git
Bước 3: Mở Script Console.
Bước 4: Load file WindowSpy.cna bằng lệnh:
Nếu bạn đã tìm hiểu những tool hacking như metasploit, nmap hoặc brute force thì chắc cũng đã nghe qua về Cobalt Strike rồi nhỉ. Nói ngắn gọn thì đây là công cụ giúm thâm nhập và điều khiển máy nạn nhân. Nhưng bạn cũng có thể theo dõi hình vi của nạn nhân bằng cách chụp màn hình để biết họ đang làm gì. Tuy nhiên không phải lúc nào bạn cũng có thể theo dõi họ, nên trong bài viết này mình sẽ giới thiệu cho các bạn công cụ WindowSpy, giúp bạn tự động chụp màn hình nạn nhân khi phát hiện thông tin nhạy cảm.
Cobalt Strike là gì?
Cobalt Strike là framework dùng trong kiểm thử thâm nhập (pentest) dành cho red team (team tấn công). Các tin tặc có thể sử dụng Cobalt Strike để tạo các beacons, các beacons này đóng vai trò như đường dẫn trực tiếp vào mạng của máy tính nạn nhân. Từ đây, tin tặc có thể truy cập từ xa vào máy nạn nhân để điều khiển, thực thi lệnh và script độc hại.
Mục đích ban đầu của Cobalt Strike là công cụ dành cho red team nhưng đã xuất hiện các bản crack làm công cụ này rơi vào tay các tin tặc chuyên tấn công và phá hoại các hệ thống công cộng. Thường thì tin tặc sẽ tiến hành quét các cổng TCP 1433 để tìm các máy chủ MS-SQL và brute force tài khoản sa, tức là tải khoản quản trị hệ thống của MS-SQL. Sau đó, chúng sẽ tạo command shell bằng cmd.exe hoặc powershell.exe thông qua process sqlservr.exe và thực thi payload của Cobalt Strike.
WindowSpy là gì?
WindowSpy là file Object Beacon trong Cobalt Strike dùng để giám sát nạn nhân. WindowSpy sẽ chỉ được kích hoạt khi nạn nhân thực hiện một số hành vi nhất định như đăng nhập trên trình duyệt, mở tài liệu nhạy cảm, đăng nhập vpn,… Mục đích của WindowSpy là tăng khả năng tàng hình trong quá trình giám sát nạn nhân bằng việc không cần phải lặp đi lặp lại các hành động như chụp màn hình. Nó cũng tiết kiệm thời gian cho red team trong việc lọc ra nhiều thông tin không cần thiết, ví dụ như bạn chỉ cần biết thông tin đăng nhập Facebook thì có thể cấu hình chỉ chụp màn hình khi người dùng truy cập trang chủ của Facebook.
Mỗi khi beacons kiểm tra, BOF (Beacon Object Files) sẽ chạy trên máy của mục tiêu. BOF có một danh sách các tiêu đề cửa sổ phổ biến, chẳng hạn như đăng nhập, quản trị viên, bảng điều khiển, vpn,.. Bạn có thể tùy chỉnh danh sách này và tự biên dịch lại. Nó liệt kê các cửa sổ có thể nhìn thấy và so sánh các tiêu đề cửa sổ với danh sách trên và nếu tên cửa sổ có trong danh sách, nó sẽ kích hoạt hàm xâm nhập trong WindowSpy.cna có tên là spy(). Theo mặc định, nó sẽ chụp ảnh màn hình. Bạn có thể tùy chỉnh chức năng của hàm này theo bạn muốn, ví dụ như keylogging, WireTap, webcam,…
Cách sử dụng WindowSpy
Bước 1: Các bạn thực thi cấy beacons vào máy nạn nhân. Bạn nào không biết cách cấy thì đọc lại bài này.
Bước 2: Tải WindowSpy bằng lệnh dưới:
git clone https://github.com/CodeXTF2/WindowSpy.git
Bước 3: Mở Script Console.
Bước 4: Load file WindowSpy.cna bằng lệnh dưới. File WindowSpy.cna sẽ nằm trong thư mục BOF.
load <Đường dẫn đến file WindowSpy.cna>
Vậy là xong rồi đó, WindowSpy sẽ tự động phát hiện và chụp màn hình cửa sổ của máy nạn nhân. Ví dụ trên máy nạn nhân, mình sẽ mở 2 cửa sổ như hình dưới.
WindowSpy sẽ phát hiện được 2 cửa sổ này và so sánh tiêu đề của cửa sổ với file danh sách có sẵn trong công cụ. Nếu trùng khớp thì sẽ chụp màn hình.
Các bạn tìm ảnh chụp màn hình trong thư mục Screenshots của Server Cobalt Strike.
Mình chỉ dựng lab minh hoạ công cụ nên sẽ khác nhiều so với môi trường thực tế nhé.
Câu hỏi thường gặp
WindowSpy hoạt động như thế nào?
WindowSpy là một Beacon Object File (BOF) cho Cobalt Strike. Nó giám sát các cửa sổ đang hoạt động trên máy nạn nhân và chụp ảnh màn hình khi phát hiện các tiêu đề cửa sổ cụ thể (ví dụ: trang đăng nhập, ứng dụng ngân hàng), giúp người tấn công theo dõi hoạt động của nạn nhân một cách hiệu quả hơn.
Tôi cần cài đặt gì để sử dụng WindowSpy?
Bạn cần có Cobalt Strike được cài đặt và đã thiết lập kết nối beacon với máy nạn nhân. WindowSpy là một file BOF, vì vậy bạn cần tải về và load nó vào Script Console của Cobalt Strike.
Tôi có thể tùy chỉnh WindowSpy để làm gì ngoài chụp ảnh màn hình?
Có thể. Hàm chính của WindowSpy có thể được tùy chỉnh để thực hiện các chức năng khác, chẳng hạn như keylogging hoặc thu thập dữ liệu từ webcam, nhưng điều này đòi hỏi kiến thức lập trình và hiểu biết sâu về Cobalt Strike.
