Cobalt Strike, kaçınma yeteneklerinde önemli iyileştirmelerle 4.11 sürümünü yayınladı ve popüler Red Team Aletini modern güvenlik çözümlerine karşı daha esnek hale getirdi.
Güncelleme, yeni bir SleepMmask, yeni proses enjeksiyon teknikleri, gelişmiş gizleme seçenekleri ve daha kapsamlı iletişim yöntemleri sunuyor – hepsi kapsamlı özelleştirme gerektirmeden etkili bir şekilde çalışmak üzere tasarlandı.
Büyük Kaçma Geliştirmeleri
Bu sürümün temel taşı, Cobalt Strike’ın kutudan çıkma olaylarının kapsamlı bir revizyonudur.
Güncelleme, Beacon’u, yığın tahsislerini ve kendisini otomatik olarak gizleyen yeni bir SleepMmask tanıtıyor ve ek yapılandırma olmadan çalışma zamanında statik imzalara karşı sağlam hale getiriyor.
Göze çarpan bir ek, şimdi Beacon tarafından kullanılan varsayılan yöntem olan yeni OBFSetThreadContext Proses Enjeksiyon Tekniğidir.
Bu teknik, diskteki taşınabilir yürütülebilir görüntüler tarafından desteklenmeyen başlangıç adreslerini arayarak enjekte edilen iş parçacıklarını tanımlayan algılama araçlarından kaçabilir.
Bu kod snippet, OBFSetThreadContext’in meşru bir ihraç edilen NTDLL işlevinde ortaya çıkacak şekilde tüm yeni iş parçacıklarını ayarlamak için nasıl yapılandırılabileceğini ve enjeksiyonu etkili bir şekilde maskeleyebileceğini gösterir.
Gelişmiş yük koruması
Kobalt Strike 4.11, Beacon’un varsayılan yansıtıcı yükleyicisini EAF bypass seçenekleri ve dolaylı syscalls desteği de dahil olmak üzere çeşitli kaçak özelliklere sahip yeni bir Prepend/SRDI tarzı yükleyiciye portladı.
Yeni Transform-Obfusate özelliği, karmaşık gizleme rutinlerinin işaret yüklerine otomatik olarak uygulanmasını sağlar. Örneğin:
Bu, bir işaret yükünü sıkıştırarak dönüştürür, RC4 rastgele 64 bit anahtarla şifreler, rastgele 32 bit anahtarla xor şifrelemesi ve son olarak bunu kodlayan baz64.
Bir diğer önemli özellik, Asenkron Beacon Nesne Dosyalarının (BOF) yeni Postex DLL, Async-Execute.dll aracılığıyla tanıtılmasıdır.
Bu, operatörlerin Beacon uyurken, tek atış veya arka plan modunda çalışırken aynı işlem içinde aynı anda birden fazla BOF çalıştırmasına olanak tanır.
Daha kapsamlı ağ iletişimi için, Cobalt Strike 4.11, HTTPS (DOH) Beacon üzerinden bir DNS tanıtarak ek bir gizli çıkış seçeneği sunar.
Varsayılan olarak, Beacon mozilla.cloudflare-dns.com ve cloudflare-dns.com’u DOH sunucuları olarak kullanır, ancak bu dövülebilir C2 ile özelleştirilebilir:
Sürüm ayrıca Beacon konsolu meta verilerine karşılık gelen komut satırı değişkenleri, yeniden düzenlenmiş yardım komutları ve özelleştirilebilir konsol arabellek boyutu ve metin sarma seçenekleri de dahil olmak üzere GUI iyileştirmeleri gibi çeşitli kullanılabilirlik geliştirmeleri de içerir.
Varsayılan olarak, Beacon artık uyku, temizleme ve xor gizlemesini mümkün kılar, bu da manuel konfigürasyon gerektirmeden saldırı zinciri boyunca statik imzalara dirençli hale getirir.
Bu güncellemeler, modern güvenlik çözümleri tarafından tespit edilmemiş kalırken, sofistike tehdit aktörlerini taklit etmek isteyen kırmızı ekipler için toplu olarak önemli bir ilerlemeyi temsil etmektedir.
Kullanım dışı işlevselliğe odaklanma, kobalt greviyle etkili operasyonlar için daha önce gereken özelleştirme yükünü önemli ölçüde azaltır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.