- 13,885
- 20
- 8 Ноя 2022
Кто оценит нововведения больше: пентестеры или киберпреступники?
Новая версия Cobalt Strike 4.9 Для просмотра ссылки Войдиили Зарегистрируйся . В этом релизе внесены улучшения в возможности постэксплуатации Cobalt Strike, включая экспорт Beacon без рефлективного загрузчика, добавление официальной поддержки URL в prepend, поддержку обратных вызовов во многих встроенных функциях и многие другие обновления.
Далее чуть подробнее пройдёмся по самым значимым изменениям релиза, стараясь не выходить за рамки формата краткой выжимки.
<h4> Улучшения в возможностях постэксплуатации </h4> Набор DLL для постэксплуатации Cobalt Strike теперь поддерживает UDRL в prepend. Список таких DLL включает в себя browserpivot, hashdump, invokeassembly, keylogger, mimikatz, netview, portscan, powershell, screenshot, sshagent.
Для выполнения этой модификации и замены отражающего загрузчика по умолчанию на UDRL был введён новый перехватчик Aggressor Script под названием POSTEX_RDLL_GENERATE.
<h4> Экспорт Beacon без рефлективного загрузчика </h4> Beacon теперь может использоваться без функции экспорта рефлективного загрузчика, что улучшает поддержку UDRL в prepend.
<h4> Поддержка обратных вызовов </h4> После многочисленных запросов от пользователей были добавлены обратные вызовы для ряда встроенных функций в Aggressor Script, их список далее: bnet , beacon_inline_execute, binline_execute, bdllspawn, bexecute_assembly, bhashdump, bmimikatz, bmimikatz_small, bportscan, bpowerpick, bpowershell, bpsinject.
<h4> Хранилище данных Beacon </h4> В новом релизе представлено хранилище данных Beacon, позволяющее сохранять сборки BOFs и .NET в памяти Beacon для последующего запуска без передачи элементов.
<h4> Данные пользователя Beacon </h4> Это новая структура C, которая позволяет Reflective Loaders передавать дополнительные данные в Beacons и решать проблему предоставления информации о системном вызове.
<h4> Поддержка WinHTTP </h4> Beacon теперь поддерживает библиотеку WinHTTP в дополнение к ранее используемой WinInet. Новая группа профилей C2 с податливым http-маяком может быть назначена в качестве прослушивателей протокола.
<h4> Межклиентская коммуникация и обновления BOF </h4> Введены новые методы Aggressor Script для обработки и использования пользовательских событий, а также новые API для поддержки хранилища ключ/значение в Beacon.
<h4> Обновление Sleep Mask </h4> Обработка sleep mask была модифицирована. Теперь она маскирует исправленный код sleep mask в Beacon.
<h4> Обновления системных вызовов </h4> Была добавлена поддержка прямых и косвенных системных вызовов для функций DuplicateHandle, ReadProcessMemory и WriteProcessMemory.
<h4> Обновления безопасности продукта </h4> В файлы авторизации внесены изменения, делающие их несовместимыми с более старыми версиями Cobalt Strike. Минимальная поддерживаемая версия Java будет обновлена с Java 8 до Java 11 в следующем релизе.
Пользователи с действующей лицензией могут скачать новую версию Cobalt Strike с Для просмотра ссылки Войдиили Зарегистрируйся или с помощью программы обновления. Разработчики также рекомендует ознакомиться с Для просмотра ссылки Войди или Зарегистрируйся перед установкой обновления.
Новая версия Cobalt Strike 4.9 Для просмотра ссылки Войди
Далее чуть подробнее пройдёмся по самым значимым изменениям релиза, стараясь не выходить за рамки формата краткой выжимки.
<h4> Улучшения в возможностях постэксплуатации </h4> Набор DLL для постэксплуатации Cobalt Strike теперь поддерживает UDRL в prepend. Список таких DLL включает в себя browserpivot, hashdump, invokeassembly, keylogger, mimikatz, netview, portscan, powershell, screenshot, sshagent.
Для выполнения этой модификации и замены отражающего загрузчика по умолчанию на UDRL был введён новый перехватчик Aggressor Script под названием POSTEX_RDLL_GENERATE.
<h4> Экспорт Beacon без рефлективного загрузчика </h4> Beacon теперь может использоваться без функции экспорта рефлективного загрузчика, что улучшает поддержку UDRL в prepend.
<h4> Поддержка обратных вызовов </h4> После многочисленных запросов от пользователей были добавлены обратные вызовы для ряда встроенных функций в Aggressor Script, их список далее: bnet , beacon_inline_execute, binline_execute, bdllspawn, bexecute_assembly, bhashdump, bmimikatz, bmimikatz_small, bportscan, bpowerpick, bpowershell, bpsinject.
<h4> Хранилище данных Beacon </h4> В новом релизе представлено хранилище данных Beacon, позволяющее сохранять сборки BOFs и .NET в памяти Beacon для последующего запуска без передачи элементов.
<h4> Данные пользователя Beacon </h4> Это новая структура C, которая позволяет Reflective Loaders передавать дополнительные данные в Beacons и решать проблему предоставления информации о системном вызове.
<h4> Поддержка WinHTTP </h4> Beacon теперь поддерживает библиотеку WinHTTP в дополнение к ранее используемой WinInet. Новая группа профилей C2 с податливым http-маяком может быть назначена в качестве прослушивателей протокола.
<h4> Межклиентская коммуникация и обновления BOF </h4> Введены новые методы Aggressor Script для обработки и использования пользовательских событий, а также новые API для поддержки хранилища ключ/значение в Beacon.
<h4> Обновление Sleep Mask </h4> Обработка sleep mask была модифицирована. Теперь она маскирует исправленный код sleep mask в Beacon.
<h4> Обновления системных вызовов </h4> Была добавлена поддержка прямых и косвенных системных вызовов для функций DuplicateHandle, ReadProcessMemory и WriteProcessMemory.
<h4> Обновления безопасности продукта </h4> В файлы авторизации внесены изменения, делающие их несовместимыми с более старыми версиями Cobalt Strike. Минимальная поддерживаемая версия Java будет обновлена с Java 8 до Java 11 в следующем релизе.
Пользователи с действующей лицензией могут скачать новую версию Cobalt Strike с Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
