关于HiddenDesktop

HiddenDesktop是一款针对Cobalt Strike设计的HVNC隐藏桌面工具，该工具专为红队研究人员设计，支持通过远程桌面会话来与目标远程设备执行交互。

值得一提的是，该工具并没有使用到VNC协议，但却能够实现类似的效果。该工具本质上是一个Cobalt Strike BOF，基于C++语言开发，可以作为TinyNuke/forks的替代方案。

工具组成

当前版本的HiddenDesktop主要由以下四个组件组成：

1、BOF初始化器：一个小型的程序，负责将HVNC代码注入到Beacon进程中；

2、HVNC Shellcode：TinyNuke HVNC的PIC实现；

3、服务器端和操作端UI：服务器端负责监听来自HVNC Shellcode的连接，UI允许操作者与远程桌面交互（当前仅支持Windows操作系统）；

4、应用程序启动器BOF：一个Beacon对象文件集合，负责在新的桌面执行应用程序；

兼容性

当前版本的HiddenDesktop支持下列Windows版本/架构：

Windows Server 2022 x64

Windows Server 2016 x64

Windows Server 2012 R2 x64

Windows Server 2008 x86

Windows 7 SP1 x64

工具下载

广大研究人员可以直接访问该项目的【Releases页面】下载最新版本的HiddenDesktop。除此之外，我们也可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/WKL-Sec/HiddenDesktop.git

然后使用make命令自行编译项目代码：

cd HiddenDesktopmake

工具使用

下列命令可以直接执行HiddenDesktop的客户端程序：

HiddenDesktop <server> <port>

此时我们将会在服务器端设备上看到一个新创建的空白窗口，默认情况下BOF并不会执行任何应用程序，我们可以使用应用程序启动器BOF来在新的桌面上执行各种应用程序，例如：

hd-launch-edgehd-launch-explorerhd-launch-runhd-launch-cmdhd-launch-chrome

除此之外，我们还可以通过资源管理器和鼠标键盘来启动应用程序，其他应用程序也可以使用下列命令来启动：

hd-launch <command> [args]

工具运行截图

工具使用演示

演示视频：【点我观看】

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

HiddenDesktop：【GitHub传送门】

参考资料

GitHub - rossja/TinyNuke: zeus-style banking trojan

GitHub - Meltedd/HVNC: Standalone HVNC Client & Server | Coded in C++ (Modified Tinynuke)

GitHub - SolomonSklash/netntlm: A crappy hook on SpAcceptLsaModeContext that prints incoming auth attempts. WIP