Cobalt Strike 4.4 (August 04, 2021)发布,这次是真的!
千呼万唤始出来,犹抱琵琶半遮面。经过多天量子计算器告诉运算,终于计算出网传泄露的Cobalt Strike 4.4 (August 04, 2021)的密码。
2021 年 8 月 4 日 - Cobalt Strike 4.4 ------------- + 添加对用户定义反射加载器的支持。 https://www.cobaltstrike.com/help-user-defined-reflective-loader + 添加对用户定义睡眠屏蔽的支持。 https://www.cobaltstrike.com/help-sleep-mask-kit + 产品许可和安全增强。 + 避免使用 localhost Sysmon 事件 22 进行 Beacon 元数据解析。 + 使用 sleep_mask 集验证信标是否有足够的代码洞空间。 + 更新 Mimikatz (2.2.0 20210724) + 使用证书/子域信息更新 Cobalt Strike 更新程序 + 添加客户端重连选项 + 通过 NanoHTTPD 发送数据时添加缓冲 + 更新链接命令的信标帮助 + 更新 c2lint 以返回结果代码 + 向 UI 添加新对话框以查看 Malleable C2 配置文件 + 为用户代理过滤器添加“允许”选项;补充了 4.3 中添加的块 + 为服务器添加别名字段到登录对话框 + 为连接对话框添加别名 + 在 Cobalt Strike 主屏幕上的连接选项卡上添加别名 + 增强编码签名功能的 c2lint 和 UI 处理 + 增强故障转移主机轮换策略(http/s 200 响应无效数据为失败) + 添加鱼叉式网络钓鱼电子邮件模板解析验证以发送客户端操作 + UI:连接对话框的增强请求以记住上次连接的团队服务器 + 为代码签名配置添加更好的 C2 linting + 使用编译的 Artifact 套件构建信标时校验和失败 + 漏洞报告:团队服务器被过大截图轰炸时崩溃。(添加 TeamServer.prop 配置) + 修复武器库构建脚本中的错误(添加 bin/bash 指令) + 修复 UI 中未编辑所需表格行选择的各个位置。 + 修复当侦听器的主机条目末尾包含空格时的信标错误(修剪主机条目字符串) + 单击屏幕截图/击键选项卡不会立即聚焦列表 + 修复了“listener_create_ext”攻击函数中缺少的主机轮换“策略”选项文档
官方地址:
https://verify.cobaltstrike.com/
# Cobalt Strike 4.4 (August 04, 2021) 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858 Cobalt Strike 4.4 Licensed (cobaltstrike.jar) # Distribution Packages (released with Cobalt Strike 4.4) 5adf9d086a2f59be9095458f207de9e947a05696e63365a4da02acdc17caa130 Cobalt Strike MacOSX Distribution Package (20210804) 8331a77fb2f81ce969795466f8f441f02813789c24b47d0771ffdceddf8d91fe Cobalt Strike Linux Distributions Package (20210804) fdcc265fcf1d87bdfd0f7ea91138d7d9f8128f8ed157d427317619002aadd17d Cobalt Strike Windows Distribution Package (20210804)
注意:使用的时候自行添加
TeamServer.prop
在 4.4 版本之后,您可能在启动团队服务器时注意到一条警告消息:
丢失的文件是可选的,它的缺失不会破坏团队服务器。它包含许多可选参数,可用于自定义用于验证屏幕截图和键盘日志回调数据的设置,从而允许您调整“HotCobalt”漏洞的修复程序。您可以通过创建一个名为 TeamServer.prop 的空文件并将其保存在 Cobalt Strike 目录中来抑制警告。
一个示例 TeamServer.prop 文件可以从 Cobalt-Strike/TeamServerProp GitHub 存储库下载在这里。我们建议创建一个空的“TeamServer.prop”文件,创建该文件但使用默认设置,或者只是忽略警告。但是,如果您想更改这些设置,现在可以这样做。
默认 TeamServer.prop 文件包含以下内容:
#Cobalt Strike Team Server Properties
#Fri May 07 12:00:00 CDT 2021
# ------------------------------------------------
# Validation for screenshot messages from beacons
# ------------------------------------------------
# limits.screenshot_validated=true
# limits.screenshot_data_maxlen=4194304
# limits.screenshot_user_maxlen=1024
# limits.screenshot_title_maxlen=1024
# Stop writing screenshot data when Disk Usage reaches XX%
# Example: Off
# "limits.screenshot_diskused_percent=0"
# Example: Stop writing screenshot data when Disk Usage reaches 95%
# "limits.screenshot_diskused_percent=95"
# Default:
# limits.screenshot_diskused_percent=95
# ------------------------------------------------
# Validation for keystroke messages from beacons
# ------------------------------------------------
# limits.keystrokes_validated=true
# limits.keystrokes_data_maxlen=8192
# limits.keystrokes_user_maxlen=1024
# limits.keystrokes_title_maxlen=1024
# Stop writing keystroke data when Disk Usage reaches XX%
# Example: Off
# "limits.keystrokes_diskused_percent=0"
# Example: Stop writing keystroke data when Disk Usage reaches 95%
# "limits.keystrokes_diskused_percent=95"
# Default:
# limits.keystrokes_diskused_percent=95
- 以“#”开头的行是注释。
- limit.*_data_maxlen是将被处理的屏幕截图/keylog 数据的最大大小。超过此限制的回调将被拒绝。
- limit.*_validated=false表示忽略以下三个“ …_maxlen ”设置
- 将任何“ ..._maxlen ”设置设置为零将禁用该特定设置
- limit.*_diskused_percent设置回调处理的阈值。当磁盘使用率超过指定百分比时回调被拒绝
- limit.*_diskused_percent=0(零)禁用此设置
- 有效值为 0-99
Cobalt Strike 4.4 现已推出。此版本为您提供了更多控制权,提高了 Cobalt Strike 的回避质量,并解决了我们用户要求的一些较小的更改……是的!我们添加了重新连接按钮!
用户定义的反射 DLL 加载程序
Cobalt Strike 在其反射加载基础方面具有很大的灵活性,但它确实有局限性。我们已经看到很多社区对这个领域的兴趣,所以我们做了一些改变,让你完全绕过它,而是定义你自己的反射加载过程。默认的反射加载器仍可随时使用。
我们扩展了 4.2 版本中最初对反射加载器所做的更改,为您提供了一个 Aggressor 脚本挂钩,允许您指定自己的反射加载器并完全重新定义 Beacon 加载到内存中的方式。提供了一个攻击者脚本 API 来促进这个过程。这是一个巨大的变化,我们计划跟进一个单独的博客文章来更详细地介绍这个功能。目前,您可以在此处找到更多信息。用户定义的反射加载器套件可以从 Cobalt Strike 武器库下载。
避免使用本地主机 Sysmon 事件 22 进行信标元数据解析
当 Beacon 启动时,它会解析元数据以发送回 Cobalt Strike。以前,Beacon 在成熟的环境中像拇指一样突出,因为用于解析此元数据的方法触发了 Sysmon 事件 22(DNS 查询),并且已成为每次运行时可靠地对 Beacon 进行指纹识别的方法。4.4 版本修改了此元数据的解析方式,以便不再发生这种情况。
用户定义的 sleep_mask 掩码/取消掩码 Stub
该sleep_mask是钴罢工的掩盖和揭露本身的记忆能力。此功能的目标是将内存检测从基于内容的签名中推开。尽管 sleep_mask 可以编码 Beacon 的数据和代码(如果代理在 RWX 内存中),静态存根仍然是基于内容的内存搜索的目标。
为了解决这个问题,我们通过可从 Cobalt Strike 武器库下载的工具包使sleep_mask存根可由用户定义。可以在此处找到有关此功能的完整详细信息以及如何使用它,就像反射加载程序的更改一样,我们计划在单独的博客文章中详细介绍。
重新连接按钮
毫无疑问,Cobalt Strike 待办事项中最受要求的更改是添加了重新连接按钮。你问了(问了,问了!),我们听了——但我们不只是给你一个重新连接按钮。如果您的 Cobalt Strike 客户端检测到团队服务器已断开连接,它将尝试自动重新连接。自动重新连接尝试将重复进行,直到重新建立连接,或者您选择停止该过程。
如果断开连接是用户通过菜单、工具栏或切换栏服务器按钮启动的,则会出现重新连接按钮,这允许您手动重新连接到团队服务器。
功能请求
我们很乐意听取用户的意见——包括对有效方法的反馈,以及对无效事物的更改请求。除了重新连接按钮之外,我们还在此版本中进行了一些更改,以专门解决您提出的问题。
许多用户希望我们在 Cobalt Strike 主 UI 中的服务器切换栏上添加一种在重命名团队服务器时指定别名的方法,因此我们更改了“新建连接”对话框以促进这一点。添加新连接时,您现在可以为该团队服务器指定别名。别名是您将在 Cobalt Strike 主 UI 的切换栏上看到的内容。同样,如果您在切换栏上重命名团队服务器,这将更新该连接的别名。此更改将反映在“新建连接”对话框中。您可以选择在“新建连接”对话框中的别名和连接视图之间切换。
我们用户要求的另一项更改是添加一种方法,可以在 Cobalt Strike UI 中查看您的团队服务器正在使用的 Malleable C2 配置文件。这个新选项可以在帮助菜单(Help -> Malleable C2 Profile)中找到。
最后要提及的一个功能请求是,我们已更新 c2lint 以在完成时返回结果代码,可在编写脚本时对其进行解析。返回代码为: 如果发现任何错误和警告,也会显示检测到的错误和警告的数量。
0 if c2lint completes with no errors
1 if c2lint completes with warnings
2 if c2lint completes with errors
3 if c2lint completes with both warnings and errors
漏洞修复 (CVE-2021-36798)
在 Cobalt Strike 中发现了一个拒绝服务 (DoS) 漏洞 (CVE-2021-36798)。该漏洞已在 4.4 版本范围内修复。可以在此处找到更多信息。
其他增强功能
4.3 版本中添加的故障转移主机轮换策略已得到改进,可以在决定是否需要执行故障转移之前解析响应内容和返回代码。这种变化使策略更加可靠。
最后要提到的一个变化是在Malleable C2 配置文件中的 http-config 块中添加了一个allow_useragents选项,以补充4.3 版本中添加的block_useragents选项。这个新选项使您可以更好地控制要响应的用户代理。请注意,这些设置是独占的。您不能在同一个 Malleable C2 配置文件中同时为 allow_useragents 和 block_useragents 指定值。
要查看 Cobalt Strike 4.4 新功能的完整列表,请查看 发行说明。获得许可的用户可以 运行更新程序 以获取最新版本。要购买 Cobalt Strike 或询问评估选项,请 联系我们 以获取更多信息。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
2021年8月26日 上午10:37 1F
感谢分享!!!
2021年8月26日 上午10:54 2F
谢谢
2021年8月26日 上午10:55 3F
真的吗!
2021年8月26日 下午3:11 4F
这个有下载链接吗
2021年8月26日 下午3:29 5F
666下载看看,没想到这么快。
2021年8月26日 下午4:09 6F
求一枚下载资源,我要测试测试~
2021年8月26日 下午9:00 7F
谢谢
2021年8月26日 下午9:28 8F
thanks 谢谢了
2021年8月26日 下午10:50 9F
卡卡快看看
2021年8月26日 下午11:33 10F
谢谢
2021年8月27日 上午2:50 11F
感谢分享
2021年8月27日 上午5:12 12F
感谢分享!!!
2021年8月27日 上午6:01 13F
实用工具及手册分享 工具工具工具
2021年8月27日 上午6:35 14F
標准通行證不適合
2021年8月27日 上午6:48 15F
谢谢
2021年8月27日 上午6:49 16F
这个有下载链接吗
2021年8月27日 下午1:17 B1
@ asddsfdsaf 发表评论并刷新可见!!
2021年8月27日 上午7:33 17F
谢谢分享!
2021年8月27日 上午8:06 18F
真的么?
2021年8月27日 上午8:11 19F
感謝分享!!!
2021年8月27日 上午8:16 20F
太好了
2021年8月27日 上午8:17 21F
太好了!!!
2021年8月27日 上午9:00 22F
感谢分享
2021年8月27日 上午10:05 23F
谢谢111111
2021年8月27日 上午10:30 24F
密码是啥
2021年8月27日 上午10:37 25F
密码是什么??????????????
2021年8月27日 上午11:46 B1
@ 123123 回复审核后能看到的哦
2021年8月27日 上午10:52 26F
感谢分享!!!
2021年8月27日 上午11:26 27F
不错的分享
2021年8月27日 下午1:11 28F
提取文件
提取码错误
2021年8月27日 下午1:31 B1
@ хуй123 可以的 你再试试
2021年8月27日 下午1:15 29F
发表评论并刷新可见!
2021年8月27日 下午7:28 30F
感谢分享!!!
2021年8月27日 下午7:29 31F
谢谢
2021年8月27日 下午8:09 32F
感谢分享!!!
感谢分享!!!
2021年8月27日 下午8:10 33F
感谢分享!!!
2021年8月27日 下午8:16 34F
学习 Nessus 进行渗透测试
2021年8月27日 下午8:34 B1
@ Bhabani 如何注册这个论坛!!选项在哪里??
2023年6月1日 上午1:52 B2
@ Bhabani 没开通
2021年8月27日 下午9:40 35F
看看是不是全网传烂了的只有源码的那个包
2021年8月28日 下午10:17 B1
@ 只有源码 是的,需要自己编译
2021年8月28日 上午7:44 36F
谢谢
2021年8月28日 上午7:54 37F
谢谢朋友
2021年8月28日 下午1:26 38F
谢谢
2021年8月28日 下午1:43 39F
如何構建項目 ?
2021年8月28日 下午3:31 40F
感谢分享
2021年8月28日 下午11:28 41F
感谢分享
2021年8月28日 下午11:41 42F
感谢分享
2021年8月29日 上午1:55 43F
太感谢了
2021年8月29日 上午1:56 44F
让我们检查
谢谢
2021年8月29日 下午1:08 45F
sasdasdadas案说法
2021年8月30日 下午11:25 46F
感谢分享!
2021年8月31日 上午12:29 47F
感谢分享!!!
2021年8月31日 上午4:58 48F
谢谢
2021年8月31日 上午10:59 49F
感谢分享
2021年8月31日 上午11:43 50F
感谢分享
2021年8月31日 上午11:45 51F
谢谢
2021年8月31日 下午1:37 52F
感谢分享呀
2021年8月31日 下午6:32 53F
谢谢
2021年9月1日 上午4:35 54F
謝謝
2021年9月1日 上午4:52 55F
真的吗!
2021年9月1日 上午7:01 56F
谢谢你
2021年9月1日 上午11:03 57F
1111啊圣诞袜
2021年9月1日 下午12:07 58F
感谢和赞赏
2021年9月1日 下午1:34 59F
谢谢
2021年9月1日 下午3:05 60F
添加对用户定义反射加载器的支持
2021年9月1日 下午3:16 61F
thanks,谢谢
2021年9月1日 下午3:23 62F
求一个链接
2021年9月1日 下午3:42 63F
thanks 发表评论并刷新可见!发表评论并刷新可见!
2021年9月1日 下午8:18 64F
请输入提取码
2021年9月1日 下午8:23 B1
@ goSHoynO 谢谢,请提取代码
2021年9月1日 下午10:59 65F
感谢分享!!!
2021年9月2日 上午12:30 66F
感谢分享感谢分享感谢分享
2021年9月2日 上午12:36 67F
谢谢谢
2021年9月2日 上午3:45 68F
A cobalt strike as free as Tibet, 谢谢你 :))
2021年9月2日 下午4:24 69F
不错
2021年9月7日 上午10:12 70F
不是说程序的头带lic么
2021年9月8日 上午6:24 71F
感谢分享!!!
2021年9月8日 下午6:58 72F
谢谢
2021年9月9日 上午11:06 73F
看看 占个楼 支持版主
2021年9月10日 下午10:09 74F
感谢分享呀!
2021年9月10日 下午10:24 75F
这个有下载链接吗
2021年9月16日 上午10:57 76F
怎么滑动 滑动半天
2021年9月20日 下午11:59 77F
谢谢
2021年9月26日 上午1:18 78F
感谢
2021年9月30日 上午10:31 79F
感谢分享!
2021年10月7日 下午10:40 80F
感谢分享!!!
2021年10月19日 下午2:12 81F
回复
2021年10月27日 下午2:59 82F
牛逼
2021年10月29日 上午10:20 83F
感谢感谢
2021年11月7日 下午5:15 84F
thinks my朋友
2021年12月22日 上午1:21 85F
码
2022年1月5日 下午11:35 B1
@ 科 66666吗
2022年1月16日 下午7:53 86F
谢谢
2022年1月27日 下午12:26 87F
感谢分享
2022年2月28日 下午7:22 88F
厉害
2022年3月19日 下午11:09 89F
感谢分享
2022年5月14日 下午11:32 90F
谢谢楼主
2023年1月29日 上午2:03 91F
444454545消毒柜