外网露出：新版 CobaltStrike 顶级免杀套件Arsenal kit

上周日，某TG频道公开发布了CS4.10-Arsenal Kit工具包

经查，hash与官方一致：

以下为相关描述

武器库套件是将各个独立套件组合成一个单一套件。 构建此套件会生成一个单一的 Aggressor 脚本 dist/arsenal_kit.cna， 可以加载该脚本，而不需要单独加载各个套件。此套件由 arsenal_kit.config 文件控制， 该文件配置了使用 build_arsenal_kit.sh 脚本构建的套件。

各个独立套件仍然可以单独使用。每个套件都有自己的 Aggressor 脚本文件，位于 dist/<套件名称>/<套件名称>.cna， 可以单独加载。有关详细信息，请参阅套件的自述文件。

build_arsenal_kit.sh 脚本会根据 arsenal_kit.config 文件中启用的套件进行构建， 该脚本会为每个启用的套件执行 kits/<套件名称>/build.sh 脚本。要构建单个套件， 请进入 kits/<套件名称> 目录并执行 build.sh 脚本。对于单个套件的 build.sh 脚本， 运行时不带参数可以查看帮助文本，以获取有关所需参数的更多信息。

请注意，udrl-vs、mutator 和 postex 套件是独立的，必须单独构建。 它们不包含在 arsenal_kit.config 文件或 build_arsenal_kit.sh 脚本中。

套件及支持的 Cobalt Strike 版本

• 不包含

  • Elevate 套件

  • applet

  • powerapplet

适用于 4.4 版本的 Sleepmask 套件可在 https://download.cobaltstrike.com/scripts 下载 适用于 4.5 和 4.6 版本的 Sleepmask 套件包含在 20230911 及更早版本的武器库套件中

套件文件和目录描述

要求

此套件设计为在 Linux 平台上运行。已在基于 Debian 的 Linux 上进行了测试。

您需要以下内容：

• 最小 GNU Windows 交叉编译器 – apt-get install mingw-w64

快速开始

1. 查看并编辑 arsenal_kit.config 文件，将包含的套件设置为 true

2. 构建套件 build_arsenal_kit.sh

3. 加载脚本 – 在 Cobalt Strike 中 -> 脚本管理器 -> 加载 dist/arsenal_kit.cna

使用钩子的命令将在脚本控制台中显示输出。

生成工件的示例（仅启用了工件套件）：

[10:16:12] [arsenal_kit.cna] ######################################

[10:16:12] [arsenal_kit.cna] # Cobalt Strike 武器库套件

[10:16:12] [arsenal_kit.cna] # (c) 2012-2024 Fortra, LLC 及其集团公司。所有商标和注册商标均为其各自所有者的财产。

[10:16:12] [arsenal_kit.cna] ######################################

[10:16:12] [arsenal_kit.cna] 工件套件已加载

[10:16:25] [arsenal_kit.cna] 工件 - EXECUTABLE_ARTIFACT_GENERATOR 钩子

[10:16:25] [arsenal_kit.cna] 工件 - /home/arsenal-kit/dist/artifact/artifact64big.exe

[10:16:25] [arsenal_kit.cna] 工件 - 长度 265737

修改

我们鼓励您对此代码进行修改，并在您的项目中使用这些修改。请勿重新分发此源代码。 它不是开源的。它是作为对已授权 Cobalt Strike 用户的福利提供的。

每个套件都有一个自述文件，详细说明了如何进行自定义。

下载链接：