Cortez 1,221 Опубликовано 15 октября, 2023 Новая версия Cobalt Strike 4.9 теперь доступна для всех пользователей . В этом релизе внесены улучшения в возможности постэксплуатации Cobalt Strike, включая экспорт Beacon без рефлективного загрузчика, добавление официальной поддержки URL в prepend, поддержку обратных вызовов во многих встроенных функциях и многие другие обновления. Далее чуть подробнее пройдёмся по самым значимым изменениям релиза, стараясь не выходить за рамки формата краткой выжимки. Улучшения в возможностях постэксплуатации Набор DLL для постэксплуатации Cobalt Strike теперь поддерживает UDRL в prepend. Список таких DLL включает в себя browserpivot, hashdump, invokeassembly, keylogger, mimikatz, netview, portscan, powershell, screenshot, sshagent. Для выполнения этой модификации и замены отражающего загрузчика по умолчанию на UDRL был введён новый перехватчик Aggressor Script под названием POSTEX_RDLL_GENERATE. Экспорт Beacon без рефлективного загрузчика Beacon теперь может использоваться без функции экспорта рефлективного загрузчика, что улучшает поддержку UDRL в prepend. Поддержка обратных вызовов После многочисленных запросов от пользователей были добавлены обратные вызовы для ряда встроенных функций в Aggressor Script, их список далее: bnet, beacon_inline_execute, binline_execute, bdllspawn, bexecute_assembly, bhashdump, bmimikatz, bmimikatz_small, bportscan, bpowerpick, bpowershell, bpsinject. Хранилище данных Beacon В новом релизе представлено хранилище данных Beacon, позволяющее сохранять сборки BOFs и .NET в памяти Beacon для последующего запуска без передачи элементов. Данные пользователя Beacon Это новая структура C, которая позволяет Reflective Loaders передавать дополнительные данные в Beacons и решать проблему предоставления информации о системном вызове. Поддержка WinHTTP Beacon теперь поддерживает библиотеку WinHTTP в дополнение к ранее используемой WinInet. Новая группа профилей C2 с податливым http-маяком может быть назначена в качестве прослушивателей протокола. Межклиентская коммуникация и обновления BOF Введены новые методы Aggressor Script для обработки и использования пользовательских событий, а также новые API для поддержки хранилища ключ/значение в Beacon. Обновление Sleep Mask Обработка sleep mask была модифицирована. Теперь она маскирует исправленный код sleep mask в Beacon. Обновления системных вызовов Была добавлена поддержка прямых и косвенных системных вызовов для функций DuplicateHandle, ReadProcessMemory и WriteProcessMemory. Обновления безопасности продукта В файлы авторизации внесены изменения, делающие их несовместимыми с более старыми версиями Cobalt Strike. Минимальная поддерживаемая версия Java будет обновлена с Java 8 до Java 11 в следующем релизе. Пользователи с действующей лицензией могут скачать новую версию Cobalt Strike с официального сайта или с помощью программы обновления. Разработчики также рекомендует ознакомиться с примечаниями к релизу перед установкой обновления. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты