
exploración del registro es un script de Cobalt Strike Aggressor que ejecuta System/AV/EDR Recon.
describir
Como practicantes del equipo rojo, a menudo usamos herramientas para tratar de identificar los detalles de un sistema infectado, preferiblemente de la manera más sigilosa posible. Algunas de las herramientas comunes que usamos para esto están comenzando a ser marcadas por los productos EDR gracias al uso de los comandos de la CLI de Windows. Este script de atacante está diseñado para resolver el problema al sondear el sistema utilizando solo consultas de registro nativas en lugar de comandos CLI.
solo carga reg.cna
Use el administrador de secuencias de comandos para ingresar a Cobalt Strike.Luego haga clic derecho en la baliza donde desea ejecutar el reconocimiento del registro y seleccione Registry
Entonces Recon
, o entrar regenum
Entra en la consola de baliza.


¿Como funciona esto?
Principalmente usando Cobalt Strike breg_query
y breg_queryv
funcionesEntonces, todas las salidas de baliza son secuestradas beacon_output
, buscando un valor específico. Cuando se hace una coincidencia positiva, la salida se resaltará en la salida de la baliza.Como no hay beacon_output_reg
o algo así, como beacon_output_ls
y beacon_output_ps
, todos los resultados deben capturarse para el análisis.
¿Qué sucede si no se detecta mi producto AV/EDR? / ¿Cómo puedo ayudar?
Esto es de esperar. No podemos probar todas las soluciones AV/EDR y sabemos que faltarán muchas. Puede ayudarnos enviando un problema de GitHub con la siguiente información:
- Si esta es la entrada del sistema/AV/EDR
- nombre del producto
- Claves de registro relevantes que se pueden usar para identificar productos de manera positiva