Notícias de dispositivos móveis, gadgets, aplicativos Android

Golpe de Cobalto 4.9 Lançado: Novidades!

A última versão do Cobalt Strike 4.9 está agora disponivel. Esta versão inclui melhorias nos recursos pós-exploração do Cobalt Strike, incluindo a capacidade de exportar Beacon sem um carregador reflexivo, que adiciona suporte oficial para URLs estilo prepend, suporte para retornos de chamada em muitas funções integradas, um novo armazenamento de dados no Beacon , e mais.

Os usuários que possuem uma licença válida podem obter a versão mais recente 4.9 do software baixando-o do site oficial ou usando o programa de atualização. Recomenda-se ler as notas de lançamento antes de instalar a atualização.

Documento

O que há de novo no Cobalt Strike 4.9?

Atualização para capacidades pós-exploração do Cobalt Strike

Os recursos pós-exploração do Cobalt Strike foram atualizados e as seguintes DLLs pós-exploração agora suportam carregadores reflexivos definidos pelo usuário no estilo pré-anexado:

  • navegadorpivot
  • hashdump
  • invocar montagem
  • registrador de teclas
  • mimikatz
  • visualização da rede
  • varredura de porto
  • Powershell
  • captura de tela
  • agente

Para executar esta modificação e substituir o carregador reflexivo padrão por um UDRL, um novo gancho Aggressor Script chamado POSTEX_RDLL_GENERATE foi introduzido.

Exportar farol sem carregador reflexivo

Ao utilizar UDRLs, o Beacon agora pode ser utilizado sem a função de exportação do carregador reflexivo. Além disso, essa alteração aprimora o suporte para UDRLs de estilo prefixado.

Suporte de retorno de chamada

“Recebemos vários pedidos de nossos usuários para facilitar o processamento dos resultados de determinadas chamadas de função. Isso é um desafio devido à natureza assíncrona das comunicações do Cobalt Strike, mas isso foi resolvido nesta versão adicionando retornos de chamada para várias funções integradas”, disse o empresa disse em seu blog.

As seguintes funções do Aggressor Script agora suportam retornos de chamada:

  • bnet
  • beacon_inline_execute
  • binline_execute
  • bdllspawn
  • beexecutar_assembly
  • bhashdump
  • bmimikatz
  • bmimikatz_small
  • bportscan
  • powerpick
  • powershell
  • bpsinject
Nós recomendamos:  Angry Birds jogo de realidade aumentada para celular lançado como Apple prime exclusivo

Armazenamento de dados de farol

Além disso, nesta nova versão, a empresa introduziu um armazenamento de dados Beacon que permite salvar BOFs e montagens .NET na memória do Beacon, permitindo que os itens armazenados sejam executados várias vezes sem transmitir o item.

Dados do usuário do Beacon

Beacon User Data é uma estrutura C que permite que Reflective Loaders passem dados adicionais para Beacons. Ele também permite que um Reflective Loader resolva e forneça informações de chamadas do sistema ao Beacon, ignorando o resolvedor normal de chamadas do sistema. BOFs podem recuperar um ponteiro para esses dados com a função BeaconGetCustomUserData.

Suporte WinHTTP

O ouvinte HTTP(S) do Beacon dependia anteriormente da biblioteca WinInet por padrão. O suporte para a biblioteca WinHTTP foi implementado em resposta à entrada do usuário.

“Um novo grupo Maleable C2, .http-beacon, foi criado. Além disso, uma opção .http-beacon.library foi adicionada para permitir definir a biblioteca padrão usada ao criar um novo ouvinte HTTP(S)”, explica a empresa.

Suporte de perfil de host para ouvintes HTTP(S)

Quando a carga útil do Beacon é gerada, os nomes de host de retorno de chamada são fornecidos a um único URI e os parâmetros e cabeçalhos HTTP(S) são definidos no nível do perfil ou da variante. Isto implica que todo o tráfego HTTP(S) para esse host parece ser extremamente semelhante.

“Resolvemos essas limitações adicionando um novo grupo de perfis Maleable C2 – http-host-profiles. Isso permite definir características HTTP (URI, cabeçalhos e parâmetros) que serão usadas para comunicações HTTP(S) para um nome de host específico”, afirmou a empresa.

Comunicações entre clientes

Três novos métodos Aggressor Script foram introduzidos para facilitar o disparo e o consumo de eventos personalizados: custom_event, custom_event_private e custom_event_.

Nós recomendamos:  Redmi Note 10 Pro 5G com MediaTek Dimensity 1100 SoC lançado

Atualizações do BOF

Três novas APIs foram adicionadas ao Beacon para suportar este armazenamento de chave/valor:

BeaconAddValue(const char * key, void * ptr) permite adicionar um endereço de memória a uma chave.

BeaconGetValue(const char * key) permite recuperar o endereço de memória associado a uma chave.

BeaconRemoveValue(const char * key) permite remover a chave.

Atualização da máscara de dormir

O processamento da máscara de dormir foi modificado para mascarar o código corrigido da máscara de dormir do Beacon.

Atualizações de chamadas do sistema

Foi adicionado suporte para chamadas de sistema diretas e indiretas para DuplicateHandle, ReadProcessMemory e WriteProcessMemory.

Atualizações de segurança do produto

“Uma alteração foi feita nos arquivos de autorização para que eles não sejam mais compatíveis com versões anteriores do Cobalt Strike. Isso significa que o arquivo de autorização gerado quando você atualiza ou instala o 4.9 release não funcionará com nenhum 4.8 versões que você também pode precisar usar”, disse a empresa.

A empresa também garantiu que a versão mínima suportada do Java será atualizada a partir do Java 8 para Java 11 na próxima versão.

Table of Contents