Fortra, kırmızı takım operasyonlarını ve saldırgan güvenlik araştırmalarını geliştirmek için tasarlanmış kapsamlı bir yeni özellikler paketi sunan Cobalt Strike 4.12’yi resmi olarak yayınladı.
Güncelleme, modernleştirilmiş bir GUI, çığır açan bir REST API, Kullanıcı Tanımlı Komuta ve Kontrol (UDC2), gelişmiş süreç enjeksiyon teknikleri, yeni UAC atlamaları ve damlama yüklemeli Dövülebilir C2 seçenekleri aracılığıyla gelişmiş kaçınma yetenekleri sunar.
En son sürüm, Dracula, Solarized ve Monokai dahil olmak üzere birçok özelleştirilebilir temaya sahip, tamamen yeniden tasarlanmış bir grafik arayüze sahiptir.
Güncellenen Pivot Grafik görselleştirmesi artık çıkış Beacon’ları için dinleyici adlarını ve giriş Beacon’ları için pivot türlerini (SMB/TCP) görüntüleyerek operatörlere etkileşimler sırasında daha net durumsal farkındalık sağlıyor.
Belki de en önemli ekleme, şu anda beta sürümünde yayınlanan yeni REST API’dir. Bu özellik, kırmızı ekip operatörlerinin ilk kez herhangi bir programlama dilini kullanarak Cobalt Strike’ı komut dosyası olarak yazmalarına olanak tanıyarak, gelişmiş otomasyon ve sunucu tarafı depolama yeteneklerini kolaylaştırır.
API aynı zamanda özel Cobalt Strike istemcileri geliştirmek ve Anthropic’in Claude AI’sı için kavram kanıtlı MCP Sunucusu aracılığıyla gösterilen makine öğrenimi araçlarıyla entegrasyon için de yollar açıyor.
Komuta ve Kontrol (UDC2)
UDC2, eski extc2 çerçevesinden önemli bir evrimi temsil eder. Adlandırılmış kanallara ve SMB Beacon rölelerine dayanan öncülünün aksine UDC2, güvenlik araştırmacılarının Beacon Nesne Dosyaları (BOF’ler) olarak özel C2 kanalları geliştirmelerine olanak tanır.
UDC2 BOF, veri yükü oluşturma sırasında doğrudan entegre olur ve özel Kullanıcı Tanımlı Yansıtıcı Yükleyiciler (UDRL’ler) ile uyumluluğu korurken, tüm Beacon trafiğini özel kanallar üzerinden proxy olarak gerçekleştirir.
Fortra, özel kanal geliştirmeyi hızlandırmak için UDC2-VS geliştirme çerçevesinin yanı sıra açık kaynaklı bir ICMP UDC2 uygulamasına sahiptir.
Cobalt Strike 4.12, BOF’ler olarak uygulanan dört yeni süreç enjeksiyon tekniğini tanıtıyor:
- RtlCloneKullanıcıSüreci – DirtyVanity araştırmasına dayanarak, EDR tespitinden kaçınmak için klonlanmış işlemlerden yararlanılıyor
- TpDirect – Uzak iş parçacığı oluşturmak için hedef süreç TP_DIRECT yapılarını yönetir
- TpStartRoutineStub – Kod yürütme için iş parçacığı havuzu manipülasyonunu kullanır
- Erken Çağlayan – Gizli çatal/çalıştırma enjeksiyonu için süreç başlatma rutinlerini yeniden yönlendirir
Operatörler artık yeni Aggressor kancaları (PROCESS_INJECT_EXPLICIT_USER/PROCESS_INJECT_SPAWN_USER) aracılığıyla özel enjeksiyon teknikleri ekleyerek çerçevenin genişletilebilirliğini genişletebilir.
UAC Baypas Yenileme ve Kaçınma
Windows 10’dan Windows 11 24H2’ye kadar uyumlu iki yeni UAC bypass’ı eklendi: uac-rpc-dom (James Forshaw’un AppInfo ALPC bypass’ını temel alır) ve uac-cmlua (ICMLuaUtil yükseltilmiş COM arayüzünü kullanır).
Sürüm ayrıca Dövülebilir C2 seçenekleriyle yapılandırılabilen, hem yansıtıcı yükleme hem de proses enjeksiyonu için damlama yükleme özelliklerini de sunuyor. Bu teknik, yükleri yapılandırılabilir gecikmelerle küçük parçalar halinde yazar ve EDR olay korelasyonu algılama yöntemlerini bozar.
Diğer iyileştirmeler arasında IPv6 SOCKS5 desteği, daha yeni Mac/Linux dağıtımları için sabit SSH Beacon uyumluluğu, görev kimliği eşlemeyle gelişmiş günlük kaydı ve güncellenmiş Java 17 minimum gereksinimleri yer alıyor.
Pivot Beacon’lar artık kod karmaşıklığını azaltan basitleştirilmiş asenkron iletişim ile sürüm 4.11’de sunulan kaçınmalı Uyku Maskesini destekliyor.
Yeni BeaconDownload BOF API, kimlik bilgisi dökümü işlemleri için kritik olan disk yazma işlemlerine gerek kalmadan 2 GB’a kadar bellek içi arabellek indirmelerine olanak tanır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.