Что это такое?
Пользовательский рефлексивный загрузчик для Cobalt Strike, который маскирует вредоносный код, динамически подменяя и обновляя легитимные модули в памяти.
Проект / C
KuwaitiSt/Astral_Projection: Astral Projection — продвинутый скрытный загрузчик для Cobalt Strike
Позволяет скрыть вредоносный модуль в памяти во время бездействия, избегая детектирования современными системами защиты.
Astral Projection — это инструмент для повышения скрытности в рамках фреймворка Cobalt Strike. Он реализует технику «module stomping» и динамической смены модулей в памяти для обхода механизмов защиты. Проект построен на базе Crystal Palace и частично...
Для кого это
Для специалистов по кибербезопасности, пентестеров и разработчиков инструментов для тестирования на проникновение, работающих с Cobalt Strike.
Проблема / задача
Современные EDR/антивирусы легко находят в памяти подозрительные модули, которые долго находятся в одном месте. Проект решает проблему создания устойчивых к детектированию имплантов.
Как это работает
Это пользовательский рефлексивный загрузчик (UDRL) для Cobalt Strike. Он загружает легитимный модуль через LoadLibraryExW, а затем «подменяет» его содержимое своим кодом. Во время периодов сна (бездействия) он полностью выгружает модуль из памяти, но оставляет его запись в PEB, чтобы система думала, что он всё ещё загружен. После сна загружается свежая копия модуля, что позволяет избежать накопления артефактов и...
Что видно по README
Astral Projection — это инструмент для повышения скрытности в рамках фреймворка Cobalt Strike. Он реализует технику «module stomping» и динамической смены модулей в памяти для обхода механизмов защиты. Проект построен на базе Crystal Palace и частично использует код из Crystal-Kit.
Ключевые возможности
Технологии
Интересный факт
Проект использует технику, названную в честь «астральной проекции» — пока тело (запись в PEB) остаётся на месте, сущность (код в памяти) путешествует и меняется.
С чего начать
- Отключите sleepmask и обфускацию стадии в Malleable C2-профиле.
- Скопируйте crystalpalace.jar в директорию клиента Cobalt Strike.
- Загрузите скрипт Astral_Projection.cna через менеджер скриптов.
Оценка GitRadar
Удобство
4/10
Свежесть
8/10
Перспектива
6/10
Монетизация
3/10
Общая оценка
5/10
Вердикт GitRadar
Стоит пробовать только опытным специалистам в области кибербезопасности и разработки инструментов для Red Team. Это узкоспециализированный, технически сложный инструмент, а не готовое решение для новичков.
Наблюдения по обновлениям
Проект имеет небольшое сообщество (22 звезды, 3 форка), но технически актуален и реализует современные техники уклонения. Отсутствие открытых issue может говорить как о стабильности, так и о малой аудитории.
Что мы проверили
Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.
- Исходный репозиторий
- https://github.com/KuwaitiSt/Astral_Projection
- Лицензия
- MIT
- Создан на GitHub
- 18 апреля 2026 г.
- Последнее обновление репо
- 18 апреля 2026 г.
- Последняя проверка GitRadar
- 18 апреля 2026 г.
- Изученные файлы
- README.md, Makefile, loader/Makefile, loader/src/cleanup.h, loader/src/cfg.h, loader/src/spoof.h
FAQ
Для кого подходит?
Для профессионалов в области тестирования на проникновение (Red Team/Pentest), которые используют Cobalt Strike и нуждаются в продвинутых техниках уклонения от EDR-систем.
Источники
Нужна помощь с KuwaitiSt/Astral_Projection?
Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.