Cobalt Strike получил новые функции для сокрытия от антивирусов

Инструмент Cobalt Strike продолжает оставаться одним из самых мощных решений для моделирования атак и тестирования информационной безопасности. В последние годы функционал программы стал значительно сложнее, благодаря внедрению функций User-Defined Reflective Loader (UDRL), SleepMask и BeaconGate. Rasta Mouse описал работу данных опций в своем блоге, передаёт Securitylab.

• User-Defined Reflective Loader (UDRL) позволяет заменить стандартный загрузчик Beacon на собственный, предоставляя операторам полный контроль над процессом загрузки DLL. Это открывает возможности для более сложных манипуляций, таких как использование нестандартных API для выделения памяти или изменение метаданных загружаемого файла. Однако при использовании UDRL настройки, заданные в профиле C2, игнорируются, что может вызывать конфликты с другими функциями, например, SleepMask.
• SleepMask предназначен для скрытия данных Beacon в оперативной памяти во время бездействия, минимизируя риск обнаружения. Функция получает информацию о выделенной памяти через UDRL, что позволяет точнее контролировать процесс маскировки и уменьшать вероятность ошибок, например, невозможности скрыть часть данных или сбоя программы.
• BeaconGate добавляет новый уровень маскировки, проксируя API-вызовы через пользовательский профиль SleepMask. Это позволяет выполнять такие действия, как подмена стека вызовов или добавление других методов уклонения от обнаружения, прежде чем результат передастся обратно в Beacon. Функция может взаимодействовать с различными системными вызовами.

Разработчикам предоставляется набор инструментов для настройки и интеграции данных функций. Например, можно определить пользовательские системные вызовы или использовать структуру BeaconGateWrapper для обработки проксированных вызовов, что делает Beacon ещё более универсальным, особенно в контексте разработки BOF-модулей (Beacon Object Files).

В будущем возможно объединение SleepMask и BeaconGate в единую систему или расширение их поддержки для произвольных вызовов API, что усилит функционал, одновременно усложнив задачи для ИБ-специалистов.