官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
渗透测试框架迎来重大升级,新版引入增强型图形界面功能、REST API支持以及安全研究人员可用于攻击行动的新型规避技术。
全面升级的图形界面与核心功能
最新版本采用完全重新设计的图形界面,提供多种主题选项(包括Dracula、Solarized和Monokai)。所有可视化组件均已更新,改进后的Pivot Graph现在可显示监听器名称和传输类型,便于基础设施管理。
| 类别 | 新特性 |
|---|---|
| 图形界面 | 现代化客户端设计(支持Dracula/Solarized/Monokai主题) |
| 升级版Pivot Graph(显示监听器名称与传输类型) | |
| 最低需Java 17运行环境 | |
| REST API | 支持任意编程语言脚本(测试版) |
| 高级自动化与自定义客户端开发 | |
| 支持ML/LLM集成 | |
| 自定义C2 | 用户自定义命令控制(UDC2) |
| 通过BOF实现自定义C2通道 | |
| 支持ICMP等非常规信道路由 | |
| 进程注入 | RtlCloneUserProcess(基于DirtyVanity技术) |
| TpDirect(线程池操纵) | |
| TpStartRoutineStub(线程池触发) | |
| EarlyCascade(fork/run注入) | |
| UAC绕过 | uac-rpc-dom(AppInfo ALPC绕过) |
| uac-cmlua(ICMLuaUtil COM接口利用) | |
| 兼容Windows 10至11 24H2系统 | |
| 内存操作 | BeaconDownload API(支持2GB内存缓冲区) |
| 新增滴灌式加载技术规避EDR | |
| 敏感数据全程无磁盘写入 | |
| Beacon改进 | 为Pivot Beacon添加Sleepmask技术 |
| 支持IPv6 SOCKS5代理 | |
| 修复SSH Beacon(Mac/Linux版) | |
| 新增任务ID日志记录功能 |
重要变更要求用户必须升级至Java 17或更高版本,旧版Java将无法运行该应用,此举可确保获得现代安全特性和性能提升。
革命性REST API与自定义C2通道
Cobalt Strike首次通过全新REST API(测试版)支持任意编程语言脚本编写,实现高级自动化、服务器端操作存储以及自定义客户端开发。该API为机器学习模型集成到攻击工作流开辟了道路,符合安全团队探索AI驱动攻击技术的最新研究方向。
用户自定义命令控制(UDC2)允许操作者开发作为Beacon Object Files(BOF)的自定义C2通道,突破传统限制实现ICMP等非常规信道路由,同时保持与自定义转换和混淆方法的兼容性。
强化进程注入与UAC绕过技术
4.12版本引入四种新型进程注入技术(均以BOF形式实现):
- RtlCloneUserProcess(基于DirtyVanity研究)
- TpDirect
- TpStartRoutineStub
- EarlyCascade
新增两种UAC绕过方法(uac-rpc-dom和uac-cmlua)全面支持Windows 10至11 24H2系统,为测试环境提供可靠提权路径。BeaconDownload API现支持2GB内存缓冲区下载且无需落盘,显著减少分析指标。滴灌式加载功能通过延迟写入有效载荷破坏事件关联,有效对抗基于注入原语序列的检测逻辑。
Pivot Beacon现已支持Sleepmask规避技术,新增IPv6 SOCKS5代理支持进一步扩展操作灵活性。这些更新使Cobalt Strike 4.12成为现代红队行动和安全研究的全能框架。
参考来源:
Cobalt Strike 4.12 Released With New Process Injection, UAC Bypasses and Malleable C2 Options
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)