针对hw，很多红队开发人员，都是简单加工了下CS马，套了层外壳，针对于这类样本的分析提取CS，可以使用工具快速分析提取CS的beacon，并不要什么太多操作。
首先拿到样本，先常规提取恶意PE文件。使用pe-sieve工具。

https://github.com/hasherezade/pe-sieve

比如提取后这种未命名的就是马所在。

如果套了几层，可以关键API下断，手动dump出内存，不过国内hw那些样本大部分都是简单构造。
再判断恶意代码是否为CobaltStrike，比如实例这里，IDA看到异或操作。

提取数据

解码

发现是CS配置，再使用CobaltStrikeParser解析出beacon就行了，也可也无脑先使用下，如果报错再换其他思路，不过hw样本用CS马是绝大多数。
工具链接如下：

https://github.com/Sentinel-One/CobaltStrikeParser