Red Team инструмент Cobalt Strike 4.11: обновление с улучшенной системой скрытности

В мире кибербезопасности появилась важная новость — выпущена версия 4.11 популярного инструмента Red Team Cobalt Strike. Это обновление значительно расширяет возможности уклонения от современных систем безопасности, делая Cobalt Strike еще более незаметным.

Новая версия включает технологию Sleepmask, новые методы инъекции процессов, улучшенные техники обфускации, а также более скрытые сетевые коммуникации. Главное преимущество — все эти функции работают «из коробки», без необходимости сложной настройки.

🔥 Основные улучшения в Cobalt Strike 4.11

🛡 Новая технология Sleepmask

Компонент Beacon теперь оснащен технологией Sleepmask, которая динамически скрывает себя, свои выделенные области памяти (heap allocations) и процесс. Это усложняет его обнаружение при помощи статического анализа. Важно, что никаких дополнительных настроек для этого не требуется.

🔀 Новый метод инъекции ObfSetThreadContext

Этот метод теперь используется в Beacon по умолчанию. Он позволяет обходить механизмы обнаружения, которые анализируют стартовые адреса потоков на соответствие исполняемым файлам на диске. В результате антивирусные системы и средства мониторинга могут не обнаружить вредоносный код.

🔐 Новый загрузчик для Beacon

В версии 4.11 используется усовершенствованный рефлективный загрузчик prepend/sRDI, который добавляет несколько новых способов обхода защитных механизмов:
✔ EAF bypass — обход систем обнаружения эксплуатации уязвимостей.
✔ Косвенные системные вызовы (indirect syscalls) — помогает скрываться от антивирусов.

🔑 Улучшенная обфускация через Transform-obfuscate

Новая функция Transform-obfuscate позволяет автоматически применять сложные алгоритмы обфускации к загрузкам Beacon. Например:
✅ RC4-шифрование (случайный 64-битный ключ)
✅ XOR-шифрование (случайный 32-битный ключ)
✅ Base64-кодирование

Эти методы помогают сделать загрузку Beacon практически незаметной для механизмов безопасности.

🔄 Асинхронное выполнение BOF

Теперь Cobalt Strike 4.11 поддерживает асинхронные Beacon Object Files (BOF) через новую библиотеку async-execute.dll. Это позволяет:
🔹 Запускать несколько BOF одновременно.
🔹 Выполнять их даже во время «спящего режима» Beacon.

Результат — более скрытное и непрерывное выполнение команд.

🔍 DNS через HTTPS (DoH)

В новой версии добавлена возможность связи через DNS over HTTPS (DoH), что делает сетевой трафик менее заметным. По умолчанию используются следующие серверы DoH:
✔ mozilla.cloudflare-dns.com
✔ cloudflare-dns.com

Однако эти настройки можно изменить с помощью Malleable C2, что повышает гибкость операций Red Team.

🎛 Улучшения интерфейса и командной строки

✅ Новые переменные для метаданных консоли Beacon.
✅ Оптимизированная справочная система (help).
✅ Улучшенная GUI: настройка буфера консоли и переноса текста.

Теперь Beacon по умолчанию активирует следующие функции:
✔ Sleepmask
✔ Cleanup
✔ XOR-обфускация

Это делает его значительно менее заметным на всех этапах атаки.

🚨 Возможные последствия и меры защиты

Cobalt Strike 4.11 представляет собой серьезный шаг вперед в эмуляции APT-угроз и скрытности. Это обновление:
✔ Позволяет эффективно работать без дополнительной настройки.
✔ Помогает обходить MFA и защитные механизмы.
✔ Сложнее обнаруживается средствами мониторинга.
✔ Использует новые техники маскировки сетевого трафика.

С таким развитием Cobalt Strike продолжает укреплять свой статус запрещенного инструмента. Поэтому специалисты по кибербезопасности должны знать не только его возможности, но и способы защиты от него.

1. Обновление систем EDR и SIEM
Современные EDR-системы успешно выявляют Cobalt Strike, но версия 4.11 вводит новые техники скрытности. Чтобы минимизировать риски, необходимо:
✔ Регулярно обновлять EDR и SIEM.
✔ Анализировать сетевые соединения Beacon с помощью TLS-инспекции.

2. Использование FIDO2 и аппаратных модулей безопасности (HSM)
Эти методы помогают предотвратить угон сессий и обход MFA.

3. Усиленный мониторинг DNS и HTTPS
Для обнаружения скрытых коммуникаций через DoH рекомендуется:
✔ Анализировать логи DNS.
✔ Использовать средства сетевой аналитики.

🔴 Заключение

Cobalt Strike 4.11 значительно повысил уровень скрытности, что делает его еще более сложной целью для механизмов обнаружения. Это означает, что специалистам по кибербезопасности придется адаптировать свои методы защиты, чтобы оставаться на шаг впереди.

Оставайтесь в безопасности в киберпространстве! 🔐

Служба реагирования
на инциденты кибербезопасности

Служба реагирования
на инциденты кибербезопасности

Red Team инструмент Cobalt Strike 4.11: обновление с улучшенной системой скрытности

🔥 Основные улучшения в Cobalt Strike 4.11

🛡 Новая технология Sleepmask

🔀 Новый метод инъекции ObfSetThreadContext

🔐 Новый загрузчик для Beacon

🔑 Улучшенная обфускация через Transform-obfuscate

🔄 Асинхронное выполнение BOF

🔍 DNS через HTTPS (DoH)

🎛 Улучшения интерфейса и командной строки

🚨 Возможные последствия и меры защиты

🔴 Заключение

🔥 Основные улучшения в Cobalt Strike 4.11

🛡 Новая технология Sleepmask

🔀 Новый метод инъекции ObfSetThreadContext

🔐 Новый загрузчик для Beacon

🔑 Улучшенная обфускация через Transform-obfuscate

🔄 Асинхронное выполнение BOF

🔍 DNS через HTTPS (DoH)

🎛 Улучшения интерфейса и командной строки

🚨 Возможные последствия и меры защиты

🔴 Заключение

Обнаружена уязвимость в ядре Linux, остававшаяся незамеченной 7 лет

BitM: Новый киберугроза, крадущая конфиденциальные данные через браузер

Google выпустил открытую версию OSV-Scanner, подняв обнаружение уязвимостей на новый уровень