Cobalt Strike 4.11: Cập Nhật Mới & Tính Năng Đỉnh

18/03/2025
2 mins read

Phiên bản Cobalt Strike 4.11 vừa được phát hành với nhiều tính năng và cải tiến đáng chú ý. Dưới đây là những điểm nổi bật trong bản phát hành này:

Nội dung
1. Tùy chọn tránh né được nâng cao:
2. Bộ tải phản chiếu được cải tiến:
3. Tệp đối tượng Beacon không đồng bộ (BOFs):
4. Giao tiếp mạng kín đáo với Beacon DNS qua HTTPS (DoH):
5. Cập nhật chất lượng cuộc sống:

1. Tùy chọn tránh né được nâng cao:

  • Sleepmask Mới: Tính năng Sleepmask mới được tự động bật qua Malleable C2, giúp mã hóa Beacon, các phân bổ đống và chính nó, làm cho nó kháng lại các chữ ký tĩnh mà không cần cấu hình bổ sung.
  • Kỹ thuật tiêm quy trình mới: Cobalt Strike giới thiệu “ObfSetThreadContext,” một phương pháp tùy chỉnh giúp đặt địa chỉ bắt đầu luồng đã tiêm là điểm gia nhập hợp pháp của hình ảnh từ xa, vượt qua các phương pháp phát hiện tiêm luồng thông thường.

2. Bộ tải phản chiếu được cải tiến:

  • Bộ tải phản chiếu đã được cải tiến với kiểu trình tải prepend/sRDI, bao gồm nhiều tính năng quan trọng:
  • Bỏ qua EAF: Người dùng giờ đây có thể bỏ qua các kỹ thuật Lọc Địa chỉ Xuất (EAF) bằng tùy chọn stage.set eaf_bypass “true”.
  • Gọi hệ thống gián tiếp: Tùy chọn stage.set rdll_use_syscalls “true” hỗ trợ gọi hệ thống gián tiếp.
  • Quy trình mã hóa: Hàm transform-obfuscate {} cho phép áp dụng các quy trình mã hóa phức tạp cho tải trọng Beacon.

3. Tệp đối tượng Beacon không đồng bộ (BOFs):

Bản phát hành bao gồm async-execute.dll, cho phép thực thi BOFs trong các luồng mới mà không chặn Beacon. Tính năng này hỗ trợ cả chế độ thực thi một lần và nền, nâng cao tính linh hoạt của các hoạt động sau khai thác.

4. Giao tiếp mạng kín đáo với Beacon DNS qua HTTPS (DoH):

Bản phát hành này bao gồm một Beacon DNS qua HTTPS, cung cấp một tùy chọn ra ngoài mạng kín đáo khác. Người dùng có thể dễ dàng cấu hình cài đặt DoH thông qua Malleable C2.

5. Cập nhật chất lượng cuộc sống:

  • Các biến dòng lệnh được cải thiện: Các biến mới, như $BEACON_PID$BEACON_ARCH, có sẵn để sử dụng trong quá trình thực thi lệnh.
  • Lệnh trợ giúp Beacon được tổ chức lại: Các lệnh giờ đây được nhóm lại để dễ dàng truy cập hơn.
  • Xoay vòng máy chủ được cải thiện: Người dùng có thể thay đổi nhiều máy chủ C2 cùng một lúc.
  • Ngăn chặn lộ dữ liệu: Beacon giờ hỗ trợ điều khiển kích thước gói trong các yêu cầu GET/POST.

Tổng thể, Cobalt Strike 4.11 đại diện cho một bước tiến lớn trong mô phỏng mối đe dọa, trao quyền cho các nhóm đỏ với khả năng tránh né nâng cao và sự linh hoạt trong hoạt động.

Tags