Конец киберзащите: новые функции Cobalt Strike против ИБ-специалистов

Cobalt Strike Rasta Mouse Beacon пентест
Конец киберзащите: новые функции Cobalt Strike против ИБ-специалистов
Cobalt Strike Rasta Mouse Beacon пентест

Что значит Cobalt Strike для безопасности - новый стандарт маскировки или бессмыленность антивирусов?

image

Инструмент Cobalt Strike продолжает оставаться одним из самых мощных решений для моделирования атак и тестирования информационной безопасности. В последние годы функционал программы стал значительно сложнее, благодаря внедрению функций User-Defined Reflective Loader (UDRL), SleepMask и BeaconGate. Rasta Mouse описал работу данных опций в своем блоге.

  • User-Defined Reflective Loader (UDRL) позволяет заменить стандартный загрузчик Beacon на собственный, предоставляя операторам полный контроль над процессом загрузки DLL. Это открывает возможности для более сложных манипуляций, таких как использование нестандартных API для выделения памяти или изменение метаданных загружаемого файла. Однако при использовании UDRL настройки, заданные в профиле C2, игнорируются, что может вызывать конфликты с другими функциями, например, SleepMask.
  • SleepMask предназначен для скрытия данных Beacon в оперативной памяти во время бездействия, минимизируя риск обнаружения. Функция получает информацию о выделенной памяти через UDRL, что позволяет точнее контролировать процесс маскировки и уменьшать вероятность ошибок, например, невозможности скрыть часть данных или сбоя программы.
  • BeaconGate добавляет новый уровень маскировки, проксируя API-вызовы через пользовательский профиль SleepMask. Это позволяет выполнять такие действия, как подмена стека вызовов или добавление других методов уклонения от обнаружения, прежде чем результат передастся обратно в Beacon. Функция может взаимодействовать с различными системными вызовами.

Разработчикам предоставляется набор инструментов для настройки и интеграции данных функций. Например, можно определить пользовательские системные вызовы или использовать структуру BeaconGateWrapper для обработки проксированных вызовов, что делает Beacon ещё более универсальным, особенно в контексте разработки BOF-модулей (Beacon Object Files).

В будущем возможно объединение SleepMask и BeaconGate в единую систему или расширение их поддержки для произвольных вызовов API, что усилит функционал, одновременно усложнив задачи для ИБ-специалистов.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум