Вышел Cobalt Strike 4.9 — больше функций и возможностей постэксплуатации

Новая версия Cobalt Strike 4.9 теперь доступна для всех пользователей . В этом релизе внесены улучшения в возможности постэксплуатации Cobalt Strike, включая экспорт Beacon без рефлективного загрузчика, добавление официальной поддержки URL в prepend, поддержку обратных вызовов во многих встроенных функциях и многие другие обновления.

Далее чуть подробнее пройдёмся по самым значимым изменениям релиза, стараясь не выходить за рамки формата краткой выжимки.

Улучшения в возможностях постэксплуатации

Набор DLL для постэксплуатации Cobalt Strike теперь поддерживает UDRL в prepend. Список таких DLL включает в себя browserpivot, hashdump, invokeassembly, keylogger, mimikatz, netview, portscan, powershell, screenshot, sshagent.

Для выполнения этой модификации и замены отражающего загрузчика по умолчанию на UDRL был введён новый перехватчик Aggressor Script под названием POSTEX_RDLL_GENERATE.

Экспорт Beacon без рефлективного загрузчика

Beacon теперь может использоваться без функции экспорта рефлективного загрузчика, что улучшает поддержку UDRL в prepend.

Поддержка обратных вызовов

После многочисленных запросов от пользователей были добавлены обратные вызовы для ряда встроенных функций в Aggressor Script, их список далее: bnet, beacon_inline_execute, binline_execute, bdllspawn, bexecute_assembly, bhashdump, bmimikatz, bmimikatz_small, bportscan, bpowerpick, bpowershell, bpsinject.

Хранилище данных Beacon

В новом релизе представлено хранилище данных Beacon, позволяющее сохранять сборки BOFs и .NET в памяти Beacon для последующего запуска без передачи элементов.

Данные пользователя Beacon

Это новая структура C, которая позволяет Reflective Loaders передавать дополнительные данные в Beacons и решать проблему предоставления информации о системном вызове.

Поддержка WinHTTP

Beacon теперь поддерживает библиотеку WinHTTP в дополнение к ранее используемой WinInet. Новая группа профилей C2 с податливым http-маяком может быть назначена в качестве прослушивателей протокола.

Межклиентская коммуникация и обновления BOF

Введены новые методы Aggressor Script для обработки и использования пользовательских событий, а также новые API для поддержки хранилища ключ/значение в Beacon.

Обновление Sleep Mask

Обработка sleep mask была модифицирована. Теперь она маскирует исправленный код sleep mask в Beacon.

Обновления системных вызовов

Была добавлена поддержка прямых и косвенных системных вызовов для функций DuplicateHandle, ReadProcessMemory и WriteProcessMemory.

Обновления безопасности продукта

В файлы авторизации внесены изменения, делающие их несовместимыми с более старыми версиями Cobalt Strike. Минимальная поддерживаемая версия Java будет обновлена с Java 8 до Java 11 в следующем релизе.

Пользователи с действующей лицензией могут скачать новую версию Cobalt Strike с официального сайта или с помощью программы обновления. Разработчики также рекомендует ознакомиться с примечаниями к релизу перед установкой обновления.