Новости Вышел Cobalt Strike 4.9 — больше функций и возможностей постэксплуатации

NewsMaker

I'm just a script
Премиум
13,885
20
8 Ноя 2022
Кто оценит нововведения больше: пентестеры или киберпреступники?


mlpz8aoqlz7x627u8wa63ddkh3du2ci1.jpg


Новая версия Cobalt Strike 4.9 Для просмотра ссылки Войди или Зарегистрируйся . В этом релизе внесены улучшения в возможности постэксплуатации Cobalt Strike, включая экспорт Beacon без рефлективного загрузчика, добавление официальной поддержки URL в prepend, поддержку обратных вызовов во многих встроенных функциях и многие другие обновления.

Далее чуть подробнее пройдёмся по самым значимым изменениям релиза, стараясь не выходить за рамки формата краткой выжимки.

<h4> Улучшения в возможностях постэксплуатации </h4> Набор DLL для постэксплуатации Cobalt Strike теперь поддерживает UDRL в prepend. Список таких DLL включает в себя browserpivot, hashdump, invokeassembly, keylogger, mimikatz, netview, portscan, powershell, screenshot, sshagent.

Для выполнения этой модификации и замены отражающего загрузчика по умолчанию на UDRL был введён новый перехватчик Aggressor Script под названием POSTEX_RDLL_GENERATE.

<h4> Экспорт Beacon без рефлективного загрузчика </h4> Beacon теперь может использоваться без функции экспорта рефлективного загрузчика, что улучшает поддержку UDRL в prepend.

<h4> Поддержка обратных вызовов </h4> После многочисленных запросов от пользователей были добавлены обратные вызовы для ряда встроенных функций в Aggressor Script, их список далее: bnet , beacon_inline_execute, binline_execute, bdllspawn, bexecute_assembly, bhashdump, bmimikatz, bmimikatz_small, bportscan, bpowerpick, bpowershell, bpsinject.

<h4> Хранилище данных Beacon </h4> В новом релизе представлено хранилище данных Beacon, позволяющее сохранять сборки BOFs и .NET в памяти Beacon для последующего запуска без передачи элементов.

<h4> Данные пользователя Beacon </h4> Это новая структура C, которая позволяет Reflective Loaders передавать дополнительные данные в Beacons и решать проблему предоставления информации о системном вызове.

<h4> Поддержка WinHTTP </h4> Beacon теперь поддерживает библиотеку WinHTTP в дополнение к ранее используемой WinInet. Новая группа профилей C2 с податливым http-маяком может быть назначена в качестве прослушивателей протокола.

<h4> Межклиентская коммуникация и обновления BOF </h4> Введены новые методы Aggressor Script для обработки и использования пользовательских событий, а также новые API для поддержки хранилища ключ/значение в Beacon.

<h4> Обновление Sleep Mask </h4> Обработка sleep mask была модифицирована. Теперь она маскирует исправленный код sleep mask в Beacon.

<h4> Обновления системных вызовов </h4> Была добавлена поддержка прямых и косвенных системных вызовов для функций DuplicateHandle, ReadProcessMemory и WriteProcessMemory.

<h4> Обновления безопасности продукта </h4> В файлы авторизации внесены изменения, делающие их несовместимыми с более старыми версиями Cobalt Strike. Минимальная поддерживаемая версия Java будет обновлена с Java 8 до Java 11 в следующем релизе.

Пользователи с действующей лицензией могут скачать новую версию Cobalt Strike с Для просмотра ссылки Войди или Зарегистрируйся или с помощью программы обновления. Разработчики также рекомендует ознакомиться с Для просмотра ссылки Войди или Зарегистрируйся перед установкой обновления.
 
Источник новости
www.securitylab.ru

Похожие темы