Kobalt Saldırısı 4.9 Yayınlandı: Yenilikler!


Cobalt Strike 4.9’un en son sürümü artık mevcut. Bu sürüm, Cobalt Strike’ın kullanım sonrası yeteneklerinde iyileştirmeler içerir; bunlar arasında Beacon’ı yansıtıcı bir yükleyici olmadan dışa aktarma yeteneği, başa ekleme tarzı URL’ler için resmi destek ekler, birçok yerleşik işlevde geri arama desteği, yeni bir Beacon içi veri deposu bulunur. , ve dahası.

Geçerli bir lisansa sahip olan kullanıcılar, yazılımın en son Versiyon 4.9’unu resmi web sitesinden indirerek veya güncelleme programını kullanarak edinebilirler. Güncellemeyi yüklemeden önce sürüm notlarını okumanız tavsiye edilir.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Cobalt Strike 4.9’daki Yenilikler Neler?

Cobalt Strike’ın kullanım sonrası yeteneklerine ilişkin güncelleme

Cobalt Strike’ın yararlanma sonrası yetenekleri güncellendi ve aşağıdaki yararlanma sonrası DLL’ler artık başa ekleme stili Kullanıcı Tanımlı Yansıtıcı Yükleyicileri destekliyor:

  • tarayıcı özeti
  • hashdump
  • derlemeyi çağırmak
  • tuş kaydedici
  • taklit
  • Net görüntü
  • port taraması
  • güç kalkanı
  • ekran görüntüsü
  • sshagent

Bu değişikliği yürütmek ve varsayılan yansıtıcı yükleyiciyi bir UDRL ile değiştirmek için POSTEX_RDLL_GENERATE adı verilen yeni bir Saldırgan Komut Dosyası kancası kullanıma sunuldu.

Yansıtıcı Yükleyici Olmadan Dışa Aktarma İşareti

UDRL’leri kullanırken, Beacon artık yansıtıcı yükleyiciyi dışa aktarma işlevi olmadan kullanılabilir. Ayrıca bu değişiklik başa ekleme stili UDRL’lere yönelik desteği de geliştirir.

Geri Arama Desteği

“Belirli işlev çağrılarının sonuçlarının işlenmesini kolaylaştırmak için kullanıcılarımızdan çok sayıda talep aldık. Bu, Cobalt Strike’ın iletişimlerinin eşzamansız doğasından dolayı zordur, ancak bu sürümde bu sorun, çeşitli yerleşik işlevler için geri aramalar eklenerek ele alınmıştır, “dedi şirket kendi blogunda.

Aşağıdaki Saldırgan Komut Dosyası işlevleri artık geri aramaları desteklemektedir:

  • Bnet
  • beacon_inline_execute
  • binline_execute
  • bdllspawn
  • bexecute_assembly
  • saçmalık
  • mim ile
  • bmimikatz_small
  • bportscan
  • bpowerpick
  • bpowershell
  • bpsinject

Beacon Veri Deposu

Ayrıca, bu yeni sürümde şirket, BOF’leri ve .NET derlemelerini Beacon’un belleğine kaydetmenize olanak tanıyan ve depolanan öğelerin öğeyi iletmeden birkaç kez çalıştırılmasına olanak tanıyan bir Beacon Veri deposunu tanıttı.

Beacon Kullanıcı Verileri

Beacon Kullanıcı Verileri, Yansıtıcı Yükleyicilerin Beacon’lara ek veriler iletmesine olanak tanıyan bir C yapısıdır. Aynı zamanda Yansıtıcı Yükleyicinin normal sistem çağrısı çözümleyicisini atlayarak Beacon’a sistem çağrısı bilgilerini çözümlemesini ve sağlamasını sağlar. BOF’ler, BeaconGetCustomUserData işleviyle bu verilere yönelik bir işaretçi alabilir.

WinHTTP Desteği

Beacon’un HTTP(S) dinleyicisi daha önce varsayılan olarak Winınet kitaplığına güveniyordu. Kullanıcı girişine yanıt olarak WinHTTP kitaplığı desteği uygulandı.

“Yeni bir Dövülebilir C2 grubu, .http-beacon oluşturuldu. Ayrıca, yeni bir HTTP(S) dinleyicisi oluştururken kullanılan varsayılan kitaplığı ayarlamanıza olanak tanıyan bir .http-beacon.library seçeneği eklendi”, diye açıklıyor şirket.

HTTP(S) Dinleyicileri için Ana Bilgisayar Profili Desteği

Beacon verisi oluşturulduğunda, geri çağırma ana bilgisayar adları tek bir URI’ye verilir ve HTTP(S) parametreleri ve başlıkları profil veya değişken düzeyinde ayarlanır. Bu, o ana bilgisayara giden tüm HTTP(S) trafiğinin son derece benzer göründüğü anlamına gelir.

“Yeni bir Dövülebilir C2 profil grubu olan http-host-profiles’ı ekleyerek bu kısıtlamaları giderdik. Bu, belirli bir ana bilgisayar adı için HTTP(S) iletişimleri için kullanılacak HTTP özelliklerini (URI, başlıklar ve parametreler) tanımlamanıza olanak tanır” dedi.

Müşteriler Arası İletişim

Özel olayların tetiklenmesini ve tüketilmesini kolaylaştırmak için üç yeni Saldırgan Komut Dosyası yöntemi tanıtıldı: Custom_event, Custom_event_private ve Custom_event_.

BOF Güncellemeleri

Bu anahtar/değer deposunu desteklemek için Beacon’a üç yeni API eklendi:

BeaconAddValue(const char * key, void * ptr) bir anahtara bellek adresi eklemenizi sağlar.

BeaconGetValue(const char * key), bir anahtarla ilişkili hafıza adresini almanızı sağlar.

BeaconRemoveValue(const char * key) anahtarı kaldırmanıza olanak tanır.

Uyku Maskesi Güncellemesi

Uyku maskesi işleme, Beacon’ın yamalı uyku maskesi kodunu maskeleyecek şekilde değiştirildi.

Sistem Çağrısı Güncellemeleri

DuplicateHandle, ReadProcessMemory ve WriteProcessMemory için doğrudan ve dolaylı sistem çağrıları desteği eklendi.

Ürün Güvenliği Güncellemeleri

“Yetkilendirme dosyalarında, artık Cobalt Strike’ın eski sürümleriyle geriye dönük olarak uyumlu olmayacak şekilde bir değişiklik yapıldı. Bu, 4.9 sürümünü güncellediğinizde veya yüklediğinizde oluşturulan yetkilendirme dosyasının, kullanmanız gerekebilecek herhangi bir 4.8 sürümüyle çalışmayacağı anlamına geliyor” dedi şirket.

Şirket ayrıca gelecek sürümde desteklenen minimum Java sürümünün Java 8’den Java 11’e güncelleneceğinin garantisini verdi.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link