← Все проекты
Проект / C

incursi0n/BlueSAM: BlueSAM — инструмент для тестирования безопасности Windows через уязвимость Defender

Помогает пентестерам и специалистам по информационной безопасности получать копию базы данных SAM (паролей Windows) через уязвимость в Windows Defender.

Этот инструмент представляет собой Beacon Object File (BOF) для Cobalt Strike. Он использует уязвимость BlueHammer в механизме обновления Windows Defender/VSS, чтобы создать теневую копию системного реестра, из которой затем извлекает SAM-базу данных. Весь...

★ 57 C Форки 10 Issue 0 Оценка 5/10 Карточка проверена
Открыть на GitHub Помочь с установкой

Для кого это

Для специалистов по кибербезопасности, пентестеров и исследователей уязвимостей, работающих с фреймворком Cobalt Strike.

Проблема / задача

При проведении тестов на проникновение в Windows-системы бывает сложно получить доступ к хэшам паролей из SAM-базы для дальнейшего взлома или анализа.

Как это работает

Этот инструмент представляет собой Beacon Object File (BOF) для Cobalt Strike. Он использует уязвимость BlueHammer в механизме обновления Windows Defender/VSS, чтобы создать теневую копию системного реестра, из которой затем извлекает SAM-базу данных. Весь процесс запускается непосредственно из Beacon-сессии, что обеспечивает скрытность операций.

Что видно по README

BlueSAM — это адаптация эксплойта BlueHammer в формате Beacon Object File для фреймворка Cobalt Strike. Проект позволяет пентестерам получать offline-копию SAM-базы данных Windows, используя особенность поведения Windows Defender при обновлениях. После сборки через Makefile, скрипт импортируется в Cobalt Strike и выполняется командой bluesam.

Ключевые возможности

Получение SAM-базы через уязвимость Windows Defender/VSSОбработка offline-реестра из памяти BeaconПоддержка как x86, так и x64 архитектур

Технологии

CBeacon Object File (BOF)Cobalt StrikeWindows APIRust

Интересный факт

Проект использует уязвимость в официальном антивирусе Microsoft для создания теневой копии системных файлов — ирония в том, что защитное ПО само становится вектором атаки.

С чего начать

  • Склонировать репозиторий
  • Запустить make для сборки
  • Импортировать bluesam.cna в Cobalt Strike и выполнить команду bluesam

Оценка GitRadar

Удобство
6/10
Свежесть
8/10
Перспектива
5/10
Монетизация
2/10
Общая оценка
5/10

Вердикт GitRadar

Стоит пробовать только специалистам в области кибербезопасности с легальными целями (пентест, исследования). Проект узкоспециализированный, но хорошо сделан для своей ниши.

Наблюдения по обновлениям

Проект имеет 57 звёзд, но активность низкая. Основан на PoC BlueHammer, код структурирован, но похоже на единоразовую адаптацию.

Что мы проверили

Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.

Исходный репозиторий
https://github.com/incursi0n/BlueSAM
Лицензия
MIT
Создан на GitHub
15 апреля 2026 г.
Последнее обновление репо
15 апреля 2026 г.
Последняя проверка GitRadar
15 апреля 2026 г.
Изученные файлы
README.md, Makefile, beacon.h, offreg.h, common/wmi.h, common/beacon.h

FAQ

Что такое BlueSAM?

Инструмент для пентеста, который через уязвимость в Windows Defender получает базу паролей SAM.

Для кого подходит?

Только для легальных специалистов по безопасности, работающих с Cobalt Strike в рамках тестирования на проникновение.

Источники

  • GitHub исходный код и активность
  • README описание, ссылки, стартовые материалы

Нужна помощь с incursi0n/BlueSAM?

Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.

Смотреть услуги Открыть на GitHub Написать в Telegram