Cobalt Strike 3.13现已推出。此版本添加了TCP Beacong,进程参数欺骗,并将Obfuscate和Sleep功能扩展到SMB和TCP Beacons。

TCP Beacon

Cobalt Strike长期以来能够绕过命名管道。Cobalt Strike 3.13使用TCP Beacon扩展了这种点对点的pivot模型。现在,您可以使用绑定TCP Beacon作为权限提升和横向移动的目标。与SMB Beacon一样,您可以断开与TCP Beacon的连接,稍后再从另一个 Beacon(在同一个Cobalt Strike实例中)重新连接到它。

Cobalt Strike 3.13中的Pivot Listeners现在是stageless的反向TCP Beacon listeners。您可以从Beacon会话绑定一个pivot listener,并导出一个连接到它的stageless TCP Beacon artifact

Cobalt Strike的SSH会话也能够控制TCP Beacon会话!是的,您现在可以通过SSH连接到数据 pivot 主机并使用它来恢复对Beacon网格的控制。

反向TCP Beacon的Pivot Listeners也可以通过SSH会话运行,但有一点需要注意:SSH守护进程通常仅限制反向端口转发到本地主机。您可以使用SSH配置中的GatewayPorts选项更改此设置。对于那些使用dropbear作为* NIX RAT的人,这是一个很好的附加pivoting选项

进程参数欺骗

对于红队职业选手而言,2018年的演讲者之一是EDR Age红队Will Burgess。本次演讲讨论了EDR规避的一些技巧,包括:欺骗父进程,进程参数欺骗和隐藏内存。在Will的演讲之后,我选择了如何在Cobalt Strike中添加进程参数欺骗作为会话准备选项。我想到的是:

beacon的argu命令允许您向内部列表添加一个命令和一组伪参数。当Beacon启动其中一个命令[需要完全匹配]时,它将以挂起状态下的伪参数启动它。然后,beacon用实参更新进程内存并恢复执行。订阅新进程创建事件的工具将看到旧参数。子进程将使用欺骗参数执行。这种技术是一种回退查找恶意进程参数的方法。。

像往常一样,这并不是100%适用于红队的新技术。此技术依赖于在远程进程中读取和写入内存。这是不好的一个指标。

正如我所实现的,这种技术可以运行x86 - > x86和x64 - > x64。此外,这种技术要求伪参数与实际参数一样长或更长。最后,通过读取进程PEB来确定进程参数的程序将看到您的真实参数,而不是我们的伪参数。

尽管如此,当您绝对需要在目标上运行一个进程来完成某项任务时,这种技术是另一种掩盖您的动作的方法。

进程欺骗演示:

此视频演示了Cobalt Strike 3.13中的过程参数欺骗。这项技术基于Will Burgess在Wild West Hackin’Fest 2018的EDR Age Talk中提出的想法:

 
 
 

内存混淆

我一直认为拥有一个可以在内存中混淆自身的有效载荷会很酷。这是一个很好的方法来推回到寻找静态字符串的时间点分析上。Cobalt Strike 3.12为HTTP / HTTPS和DNS Beacon有效载荷引入了此功能。

Cobalt Strike 3.13也将此功能扩展到SMB和TCP Beacons。现在,这些Beacons会在等待新连接时混淆自己。当他们等待从父Beacon读取信息时,他们也会混淆自己。实际上,这些Beacons将花费大量时间进行混淆。

要启用此行为,请在Malleable C2配置文件中将stage - > sleep_mask选项设置为true 。为了获得最干净的内存体验,我建议将stage - > cleanup设置为true,并主要使用stageless payloads

Obfuscate and Sleep演示:

Obfuscate and Sleep是一个Malleable C2选项,在Cobalt Strike 3.12.引入。启用后,Beacon将在进入Sleep状态之前在内存中混淆自身。当它运行的时候,它会自己去混淆。
 

令牌魔术

执行execute-assemblynet、portscanpowerpick命令,现在使用您当前的令牌。此版本还更新make_token命令。它现在将您提供的凭证存储在Beacon中。当Beacon 没有使用新创建的令牌运行新进程的权限时,它将使用这些凭据回退到CreateProcessWithLogonw。这使得make-token在很大程度上可以从非特权上中使用。

查看发行说明,可看到Cobalt Strike 3.13中新功能的完整列表。授权用户可以使用更新程序获取最新信息。一个21天的 Cobalt Strike trial 也可用。

 

<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">

 
 
 
 

Cobalt Strike 3.13的新功能的更多相关文章

  1. [工具]Cobalt Strike 3.13 TeamServer for Windows

    Cobalt Strike 3.13 TeamServer for Windows 0x001 环境 CS 3.12 或 3.13 Kali或Win最好安装jdk1.8.5或之后版本 设置环境变量,如 ...

  2. 探秘IntelliJ IDEA 13测试版新功能——调试器显示本地变量

    IntelliJ IDEA在业界被公认为最好的Java开发平台之一,JetBrains公司将在12月正式发布IntelliJ IDEA 13版本. 现在,小编将和大家一起探秘密IntelliJ IDE ...

  3. 召唤神龙Ladon强化Cobalt Strike

    Ladon5.5 20191109 wiki update 20191114 前言 Ladon 5.5支持Cobalt Strike,内置39个功能模块 加载脚本K8Ladon.cna,通过Ladon ...

  4. 自动化渗透测试工具(Cobalt Strike)3.1 最新破解版

    自动化渗透测试工具(Cobalt Strike)3.1 最新破解版[附使用教程] Cobalt Strike是一款专业的自动化渗透测试工具,它是图形化.可视化的,图形界面非常友好,一键傻瓜化使用MSF ...

  5. Java 17 将要发布,补一下 Java 13 中的新功能

    本文章属于Java 新特性教程 系列,已经收录在 Github.com/niumoo/JavaNotes ,点个赞,不迷路. 自从 Oracle 调整了 Java 的版本发布节奏之后,Java 版本发 ...

  6. JavaScript大杂烩13 - 总结ECMAScript 5新功能

    虽说这个标准已经出来很久了,所有的主流浏览器的最新版本也都支持了这些特性,但是很多的教程中并没有包含这个部分,这一节我们专门来总结一下这个标准中的新功能. Object的新方法 在最新的JavaScr ...

  7. Cobalt Strike系列教程第三章:菜单栏与视图

    通过前两章的学习,我们掌握了Cobalt Strike教程的基础知识,及软件的安装使用. Cobalt Strike系列教程第一章:简介与安装 Cobalt Strike系列教程第二章:Beacon详 ...

  8. Cobalt Strike学习笔记

    Cobalt Strike 一款以metasploit为基础的GUI的框架式渗透测试工具,集成了端口转发.服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java ...

  9. cobalt strike 快速上手

    原文:https://klionsec.github.io/2017/09/23/cobalt-strike/#menu 0x01 关于 Cobalt Strike 1 2 3 一款非常优秀的后渗透平 ...

随机推荐

  1. CS224n学习笔记1——深度自然语言处理

    一.什么是自然语言处理呢? 自然语言处理是计算机科学家提出的名字,本质上与计算机语言学是同义的,它跨越了计算机学.语言学以及人工智能学科. 自然语言处理是人工智能的一个分支,在计算机研究领域中,也有其 ...

  2. 使用C#把Tensorflow训练的.pb文件用在生产环境

    训练了很久的Tf模型,终于要到生产环境中去考研一番了.今天花费了一些时间去研究tf的模型如何在生产环境中去使用.大概整理了这些方法. 继续使用分步骤保存了的ckpt文件 这个貌似脱离不了tensorf ...

  3. tr命令详解

    基础命令学习目录 原文链接:https://www.cnblogs.com/ginvip/p/6354440.html 什么是tr命令?tr,translate的简写,translate的翻译: [t ...

  4. Python List Comprehension

    (一)使用List Comprehension的好处 在了解Python的List Comprehension之前,我们习惯使用for循环创建列表,比如下面的例子: numbers = range(1 ...

  5. “Hello World!”团队第五周第六次会议

    “Hello World!”团队第五周第六次会议   博客内容: 一.会议时间 二.会议地点 三.会议成员 四.会议内容 五.todo list 六.会议照片 七.燃尽图 八.checkout& ...

  6. 第二阶段Sprint冲刺会议9

    进展:查看有关“共享平台”的资料,看如何实现上传下载功能,并尝试编码,没有成功.

  7. Teamwork(The seventh day of the team)

    做了很久,发现还是运行不了,很郁闷: 求大神指教这是什么错误?

  8. unique STL讲解和模板

    unique()是C++标准库函数里面的函数,其功能是去除相邻的重复元素(只保留一个),所以使用前需要对数组进行排序. 代码: #include<bits/stdc++.h> using ...

  9. 个人作业2--APP案例分析

    产品 选择产品:酷狗音乐播放器 版本:Android版 选择理由:是我高中就开始用的音乐播放软件,在平时使用频率比较高,平时喜欢在累的时候听音乐放松. 调研 第一次上手体验 第一次使用的时候,感觉整个 ...

  10. 记:ASP.NET Core开发时部署到IIS上出现HTTP Error 502.5 - Process Failure的解决方案

    HTTP Error 502.5 - Process Failure Common causes of this issue: The application process failed to st ...