统计
  • 建站日期:2021-03-15
  • 文章总数:62 篇
  • 评论总数:43 条
  • 分类总数:14 个
  • 最后更新:9月17日

Cobalt_Strike_4.4_最新版去暗桩

本文阅读 7 分钟
广告

Cobalt_Strike_4.4介绍地址:https://blog.cobaltstrike.com/

Cobalt Strike 4.4 现已推出。 此版本为您提供了更多控制权,提高了 Cobalt Strike 的回避质量,并解决了我们用户要求的一些较小的更改……是的! 我们添加了重新连接按钮!

用户定义的反射 DLL 加载程序

Cobalt Strike 在其反射加载基础方面具有很大的灵活性,但它确实有局限性。 我们已经看到很多社区对这个领域的兴趣,所以我们做了一些改变,让你完全绕过它,而是定义你自己的反射加载过程。 默认的反射加载器仍可随时使用。

我们扩展了 4.2 版本中最初对反射加载器所做的更改,为您提供了一个 Aggressor 脚本挂钩,允许您指定自己的反射加载器并完全重新定义 Beacon 加载到内存中的方式。 提供了一个攻击者脚本 API 来促进这个过程。 这是一个巨大的变化,我们计划跟进一个单独的博客文章来更详细地介绍这个功能。 目前,您可以 找到更多信息 在此处 。 用户定义的反射加载器套件可以从 Cobalt Strike 武器库下载。

避免使用本地主机 Sysmon 事件 22 进行信标元数据解析

当 Beacon 启动时,它会解析元数据以发送回 Cobalt Strike。 以前,Beacon 在成熟的环境中像拇指一样突出,因为用于解析此元数据的方法触发了 Sysmon 事件 22(DNS 查询),并且已成为每次运行时可靠地对 Beacon 进行指纹识别的方法。 4.4 版本修改了此元数据的解析方式,以便不再发生这种情况。

用户定义的 sleep_mask 掩码/取消掩码 Stub

该 sleep_mask 是钴罢工的掩盖和揭露本身的记忆能力。 此功能的目标是将内存检测从基于内容的签名中推开。 尽管 sleep_mask 可以编码 Beacon 的数据和代码(如果代理在 RWX 内存中),静态存根仍然是基于内容的内存搜索的目标。

为了解决这个问题,我们 sleep_mask 可由 通过可从 Cobalt Strike 武器库下载的工具包使 存根 用户定义。 可以在 找到有关此功能的完整详细信息以及如何使用它 此处 ,就像反射加载程序的更改一样,我们计划在单独的博客文章中详细介绍。

重新连接按钮

毫无疑问,Cobalt Strike 待办事项中最受要求的更改是添加了重新连接按钮。 你问了(问了,问了!),我们听了——但我们不 只是 给你一个重新连接按钮。 如果您的 Cobalt Strike 客户端检测到团队服务器已断开连接,它将尝试自动重新连接。 自动重新连接尝试将重复进行,直到重新建立连接,或者您选择停止该过程。

如果断开连接是用户通过菜单、工具栏或切换栏服务器按钮启动的,则会出现重新连接按钮,这允许您手动重新连接到团队服务器。

功能请求

我们很乐意听取用户的意见——包括对有效方法的反馈,以及对无效事物的更改请求。 除了重新连接按钮之外,我们还在此版本中进行了一些更改,以专门解决您提出的问题。

许多用户希望我们在 Cobalt Strike 主 UI 中的服务器切换栏上添加一种在重命名团队服务器时指定别名的方法,因此我们更改了“新建连接”对话框以促进这一点。 添加新连接时,您现在可以为该团队服务器指定别名。 别名是您将在 Cobalt Strike 主 UI 的切换栏上看到的内容。 同样,如果您在切换栏上重命名团队服务器,这将更新该连接的别名。 此更改将反映在“新建连接”对话框中。 您可以选择在“新建连接”对话框中的别名和连接视图之间切换。

我们用户要求的另一项更改是添加一种方法,可以在 Cobalt Strike UI 中查看您的团队服务器正在使用的 Malleable C2 配置文件。 这个新选项可以在帮助菜单(Help -> Malleable C2 Profile)中找到。

最后要提及的一个功能请求是,我们已更新 c2lint 以在完成时返回结果代码,可在编写脚本时对其进行解析。 返回代码是:

 0 if c2lint completes with no errors
 1 if c2lint completes with warnings
 2 if c2lint completes with errors
 3 if c2lint completes with both warnings and errors

如果发现任何错误和警告,也会显示检测到的错误和警告的数量。

漏洞修复 (CVE-2021-36798)

在 Cobalt Strike 中发现了一个拒绝服务 (DoS) 漏洞 (CVE-2021-36798)。 该漏洞已在 4.4 版本范围内修复。 可以在 找到更多信息 此处 。

其他增强功能

4.3 版本中添加的故障转移主机轮换策略已得到改进,可以在决定是否需要执行故障转移之前解析响应内容和返回代码。 这种变化使策略更加可靠。

最后要提到的一个变化是在 添加了一个 Malleable allow_useragents C2 配置文件的 http-config 块中 选项,以补充 的 block_useragents 4.3 版本中添加 选项。 这个新选项使您可以更好地控制要响应的用户代理。 请注意,这些设置是独占的。 您不能在同一个 Malleable C2 配置文件中同时为 allow_useragents 和 block_useragents 指定值。

最后提醒大家使用一定要JDK高版本9或者更高版本!!!


往期推荐:

AntSword新类型 CmdLinux 预览

写在前面 ---- 平时见到的 Exp 大家都喜欢直接发命令执行的 Exp (没错我说的就是 struts2 全家桶)。一直以来,有个想法,能不能图形化管理命令执行的W....


一个基于微步情报API的威胁情报收集溯源工具TIG

0x00 前言 ------- TIG (Threat Intelligence Gathering) 即威胁情报收集。在蓝队进行溯源工作时,通常有以下场景: - 1、需要对 IP 的威胁情报信息....

本文来自投稿,不代表本站立场,如若转载,请注明出处:https://www.cnhacker.cc/web_security/411.html
-- 展开阅读全文 --
JAVA序列化流程分析总结
« 上一篇 06-30
通用的针对源码泄露利用程序的反制(常见工具集体沦陷)
下一篇 » 09-17
广告

发表评论

V注册会员 L评论等级
R2 条回复
  1. ponyLv.1 说道:
    2021-09-16     iPhone /    Safari

  2. bithackerVLv.1 说道:
    2021-09-16     Win 10 /    FireFox

    tql

没有更多评论了

作者信息

广告

动态快讯

热门文章

广告

标签TAG

热评文章