Custom Cobalt Strike Artifact Kit

[MekkeyBug]

Сканы:
Стоковый Artifact kit https://scanner.to/result/AVyD5ROLUT
Кастомный https://scanner.to/result/gWdKunp1Hd

- Модифицированы все 12 стабов. Есть возможность настройки обфусцирования шелкодов (может потребоваться в некоторых случаях, а можно и покрутить для уменьшения поверхности атаки).

- Стабы поствляются в двух вариантах - mingw и msvс, что даст дополнительную свободу при атаках на проблемные таргеты.

- Для каждого покупателя индивидуально обфусцированный набор стабов.

- Стоимость $3000

- Гарант форума - за счет покупателя.

Покупатель получит ArsenalKit в том виде, как он поставляется автором + скомпиленые бинарники CustomArtifacKit + все необходимые скрипты и программы для кастомного ArtifactKit'а + помощь по запуску всего это.

Общение в ЛС форума (без шифрования -> теряю ключи) или TOX. Телегу не предлагайте.

 

[MekkeyBug]

up

 

[MekkeyBug]

Судя по задаваемым в ПМ вопросам, я не совсем понятно сформулировал свое предложение. Постараюсь исправить это упущение сейчас.

Итак, я предлагаю к продаже, так называемый, Cobalt Strike Artifact Kit входящий в более крупный пакет Cobalt Strike Arsenal Kit_20221205.
Я так и не понял, то ли народ им не пользуется, то ли не понимает его значения и назначения. Так вот, Arsenal Kit - это набор .cna скриптов и прекомпиленых бинарников разного назначения, в него входит, в том числе, например, кастомный Mimikatz, работающий прямо из кобы.

С каждым новым релизом, автор кобы вносит некоторые изменения в эти Kit'ы - "чистит" бинари. Кроме того, в Arsenal Kit входят разнообразные шаблоны (стабы) для генерации всех типов нагрузок, генерируемых кобой. В их число входит и Artifact Kit, который поставляется в виде исходников и предлагается к самостоятельной доработке и компиляции. В том виде, как он поставляется "из коробки", он не отличается какой либо чистотой и палится практически всеми антивирусами.

Прошу прощения за этот ликбез.

Вот так выглядит Cobalt Strike Arsenal Kit, котоый я предлагаю к продаже.

├── [ 32K]  arsenal_kit.cna
├── [4.0K]  artifact
│   ├── [455K]  artifact32big.dll
│   ├── [456K]  artifact32big.exe
│   ├── [ 42K]  artifact32.dll
│   ├── [ 42K]  artifact32.exe
│   ├── [452K]  artifact32svcbig.exe
│   ├── [ 38K]  artifact32svc.exe
│   ├── [454K]  artifact64big.exe
│   ├── [454K]  artifact64big.x64.dll
│   ├── [ 42K]  artifact64.exe
│   ├── [450K]  artifact64svcbig.exe
│   ├── [ 38K]  artifact64svc.exe
│   ├── [ 42K]  artifact64.x64.dll
│   ├── [9.3K]  artifact.cna
│   ├── [9.7K]  paygen_big.py
│   ├── [7.9M]  sgn
│   └── [ 557]  sgn.conf
├── [4.0K]  mimikatz
│   ├── [755K]  mimikatz-chrome.x64.dll
│   ├── [624K]  mimikatz-chrome.x86.dll
│   ├── [1.2K]  mimikatz.cna
│   ├── [794K]  mimikatz-full.x64.dll
│   ├── [688K]  mimikatz-full.x86.dll
│   ├── [1.4M]  mimikatz-max.x64.dll
│   ├── [1.1M]  mimikatz-max.x86.dll
│   ├── [306K]  mimikatz-min.x64.dll
│   └── [270K]  mimikatz-min.x86.dll
├── [4.0K]  process_inject
│   ├── [3.2K]  processinject.cna
│   ├── [2.0K]  process_inject_explicit.x64.o
│   ├── [2.1K]  process_inject_explicit.x86.o
│   ├── [1.7K]  process_inject_spawn.x64.o
│   └── [1.7K]  process_inject_spawn.x86.o
├── [4.0K]  resource
│   ├── [ 205]  compress.ps1
│   ├── [6.5K]  resources.cna
│   ├── [ 830]  template.exe.hta
│   ├── [2.7K]  template.hint.x64.ps1
│   ├── [2.8K]  template.hint.x86.ps1
│   ├── [ 197]  template.psh.hta
│   ├── [ 635]  template.py
│   ├── [1017]  template.vbs
│   ├── [2.3K]  template.x64.ps1
│   ├── [2.4K]  template.x86.ps1
│   └── [3.8K]  template.x86.vba
├── [4.0K]  sleepmask
│   ├── [1.6K]  sleepmask.cna
│   ├── [1.4K]  sleepmask_pivot.x64.o
│   ├── [1.4K]  sleepmask_pivot.x86.o
│   ├── [1.2K]  sleepmask.x64.o
│   └── [1.2K]  sleepmask.x86.o
└── [4.0K]  udrl
    ├── [3.2K]  ReflectiveLoader.x64.o
    ├── [2.7K]  ReflectiveLoader.x86.o
    └── [ 11K]  udrl.cna

Я предлагаю полностью кастомные стабы для Artifact Kit'а, не имеющие в своей основе стокового кода. Расположены они, соответственно, в папке artifact. Все остальное остается стоковым.

Стабы собраны в двух разных вариантах - visual studio и mingw.

Вот свежие результаты AV-скана для обоих вариантов.

https://scanner.to/result/rdtcVaSvPL
Visual Studio

https://scanner.to/result/UsxKcYFwmc
MINGW

Кроме того, в этот раз я добавил EDR-сканы.

https://scanner.to/result_EDR/M4klDYtWyZ
Visual Studio

https://scanner.to/result_EDR/wKwwTB9IVe
MINGW

Итак, подключая к своей кобе Arsenal Kit целиком или только Artifact Kit, вы получите возможность генерировать, непосредственно из кобы, артифакты, которые не палятся большинством антивирусов (на текущий момент). То есть вам не понадобится, какой либо, дополнительный крипт. Для решения сложных ситуаций, сторонний крипт все же желателен.

Говоря проще, без использования kit'а, вы вынуждены покупать крипт даже для обхода WinDef. С использованием - можно пройти и сквозь более серьезные аверы без какого либо дополнительно крипта.

Никакой поддержки, кроме помощи в настройке и подключении, если она понадобится, я не предлагаю. Все поставляется, как есть.

Так же, речи не идет о, какой либо, "чистке" стабов.

Добавлю несколько слов про "чистку". До создания этого Artifact Kit'а я пользовался на протяжении примерно 3-х лет аналогичным набором стабов от Tom Carver, который за все это время не до конца растерял свою актуальность. Естественно, за столько времени кое какие аверы его "спалили", но, все равно, он превосходит дефолтные стабы кобы, в плане обхода антивирусов. Поэтому я и не уверен, что этому продукту необходима какая либо чистка на постоянной основе.

 

[MekkeyBug]

UP!

 

[datasell]

До тс не могу достучаться. Есть люди кто может предложить такого рода модификации? Артифакт кит последний есть.

 

[MekkeyBug]

До тс не могу достучаться. Есть люди кто может предложить такого рода модификации? Артифакт кит последний есть.

Что то не вижу твоих сообщений, но если что я тут