Red Team vositasi Cobalt Strike 4.11: Yanada ilg‘or yashirin ishlash imkoniyatlari bilan yangilandi

Kiberxavfsizlik olamidagi yangi yangilik – mashhur Red Team vositasi Cobalt Strike ning 4.11 versiyasi chiqarildi. Ushbu versiya ilg‘or yashirin ishlash (evasion) imkoniyatlari bilan boyitilgan bo‘lib, zamonaviy xavfsizlik tizimlarini chetlab o‘tish bo‘yicha sezilarli yaxshilanishlarni o‘z ichiga oladi.

Bu yangilanish Sleepmask, yangi jarayon in’ektsiyasi usullari, yaxshilangan obfuskatsiya texnikalari va yanada yashirin tarmoq kommunikatsiyalari kabi muhim xususiyatlarni o‘z ichiga oladi. Eng muhimi, bu imkoniyatlar qo‘shimcha sozlamalarsiz ham samarali ishlashga tayyor holatda taqdim etilgan.

Cobalt Strike 4.11 versiyasining eng muhim yangilanishlaridan biri – out-of-the-box (standart holda tayyor) yashirin ishlash texnikalarining to‘liq qayta ishlanganligi.

🛡 Yangi Sleepmask
Cobalt Strike-ning Beacon komponenti endi Sleepmask texnologiyasi bilan jihozlangan bo‘lib, u dinamik ravishda o‘zini, heap ajratmalarini va jarayonni yashiradi. Bu orqali statik signaturalarni aniqlash mexanizmlarini chetlab o‘tish osonlashadi. Muhimi, bu qo‘shimcha sozlamalarsiz ishlaydi.

🔀 ObfSetThreadContext – yangi jarayon in’ektsiyasi usuli
Bu usul endi Beacon uchun standart (default) jarayon in’ektsiyasi texnikasi hisoblanadi. Ushbu usul yordamida injektsiya qilingan yangi oqimlar diskda mavjud bo‘lmagan kod manzillariga ega emasdek ko‘rinadi. Natijada, an’anaviy xavfsizlik vositalari tomonidan aniq va oson fosh etilmaydi.

Cobalt Strike 4.11 endi Beacon uchun reflektiv yuklovchi (reflective loader) texnologiyasini yangilangan prepend/sRDI usuliga ko‘chirdi. Bu bir nechta qo‘shimcha yashirish imkoniyatlari bilan ta’minlangan, jumladan:
✔ EAF bypass – Exploit-aniqlash mexanizmlaridan qochish.
✔ Bilvosita sistemali chaqiriqlar (indirect syscalls) – antiviruslardan yashirin ishlash uchun.

🔐 Transform-obfuscate xususiyati
Bu funksiya Beacon yuklamasini avtomatik ravishda murakkab obfuskatsiya algoritmlari bilan o‘zgartirish imkonini beradi. Masalan:
✅ RC4 shifrlash (tasodifiy 64-bitli kalit bilan)
✅ XOR shifrlash (tasodifiy 32-bitli kalit bilan)
✅ Base64 kodlash

Bu texnologiya yordamida yuklama xavfsizlik tizimlari uchun mutlaqo noma’lum bo‘lib qoladi.

Cobalt Strike 4.11 yangi Postex DLL – async-execute.dll orqali asinxron BOF’larni qo‘llab-quvvatlaydi. Bu:
🔹 Bir nechta BOF-larni bir vaqtning o‘zida ishga tushirishga imkon beradi.
🔹 Beacon «uyqu holati»da bo‘lsa ham, BOF’lar ishlaydi.

Natija: operatsiyalar yanada yashirin va uzluksiz amalga oshiriladi.

DNS orqali HTTPS (DoH) yordamida aloqa
Cobalt Strike 4.11 versiyasida yangi DNS over HTTPS (DoH) Beacon joriy qilindi. Ushbu texnologiya tarmoq trafigini yashirish uchun ishlatiladi va quyidagi standart DoH serverlari bilan ishlaydi:
✔ mozilla.cloudflare-dns.com
✔ cloudflare-dns.com

Biroq, bu sozlamalar Malleable C2 orqali o‘zgartirilishi mumkin, bu esa Red Team amaliyotlarini ancha moslashuvchan qiladi.

Qo‘shimcha imkoniyatlar va GUI yaxshilanishlari

✅ Yangi CLI (command-line) funksiyalari
✅ Beacon konsol metama’lumotlari uchun yangi o‘zgaruvchilar
✅ Yordam (help) bo‘limi optimallashtirildi
✅ GUI interfeysida matn o‘rash va bufer hajmi moslashuvchan

Muhimi, endi Beacon standart holatda quyidagilarni avtomatik ravishda faollashtiradi:
✔ Sleepmask
✔ Cleanup
✔ XOR obfuskatsiya

Bu esa kuzatuv tizimlariga ko‘rinmas ishlash imkonini beradi.

Cobalt Strike 4.11 – Red Team va APT tahdidlarini simulyatsiya qiluvchi mutaxassislar uchun eng muhim yangilanishlardan biri hisoblanadi. Ushbu versiya:
✔ Qo‘shimcha sozlamalarsiz ham samarali yashirin ishlash imkoniyatini beradi.
✔ MFA himoyalarini aylanib o‘tishga yordam beradi.
✔ Murakkab deteksiyalardan oson qochish imkonini yaratadi.
✔ Tarmoq trafigini yashirish uchun yangi usullar bilan ta’minlangan.

🔴 Bunday yangilanishlar bilan Cobalt Strike’ning taqiqlangan vosita sifatidagi maqomi yanada kuchayishi kutilmoqda. Shuning uchun, kiberxavfsizlik mutaxassislari ushbu vositadan qanday foydalanish mumkinligini va unga qarshi qanday choralar ko‘rish kerakligini yaxshi bilishlari lozim.

1. Endpoint Detection and Response (EDR) tizimlarini yangilash
So‘nggi yillarda EDR tizimlari Cobalt Strike-ni aniqlashda ancha muvaffaqiyatli bo‘lib kelmoqda. Lekin, 4.11 versiyasi yangi yashirin ishlash texnikalarini qo‘llaydi. Shuning uchun quyidagilarni bajarish muhim:
✔ EDR va SIEM tizimlaringizni doimiy yangilash.
✔ Beacon aloqalarini tahlil qilish uchun TLS inspektsiyasidan foydalanish.

🔑 2. FIDO2 va Hardware Security Module (HSM) joriy qilish
Bu usullar MFA va sessiya o‘g‘irlanishini oldini olishga yordam beradi.

🚨 3. DNS va HTTPS monitoringini kuchaytirish
DoH orqali yashirin aloqa mexanizmlarini aniqlash uchun:
✔ DNS loglarini tekshirish
✔ Tarmoq analitik vositalarini qo‘llash

Cobalt Strike 4.11 yashirin ishlash texnologiyalari bo‘yicha katta qadam bo‘ldi. Ushbu vosita xavfsizlik tizimlarini chetlab o‘tish uchun tobora ilg‘or texnologiyalarni taklif qilmoqda. Shuning uchun kiberxavfsizlik mutaxassislari ushbu vosita imkoniyatlariga qarshi kuchliroq himoya choralarini ishlab chiqishlari zarur.

Kiber makonda xavfsiz bo‘ling! 🔐

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Red Team vositasi Cobalt Strike 4.11: Yanada ilg‘or yashirin ishlash imkoniyatlari bilan yangilandi

Qo‘shimcha imkoniyatlar va GUI yaxshilanishlari

Qo‘shimcha imkoniyatlar va GUI yaxshilanishlari

Linux yadrosida 7 yil davomida aniqlanmagan zaiflik aniqlandi

BitM: Brauzer orqali maxfiy ma’lumotlarni qo‘lga kirituvchi yangi xavf

Google OSV-Scanner’ning ochiq kodli versiyasini chiqarib, zaifliklarni aniqlashni yangi bosqichga ko‘tardi