Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Cobalt Strike получил новые функции для сокрытия от антивирусов

04/12/24

hack164

Инструмент Cobalt Strike продолжает оставаться одним из самых мощных решений для моделирования атак и тестирования информационной безопасности. В последние годы функционал программы стал значительно сложнее, благодаря внедрению функций User-Defined Reflective Loader (UDRL), SleepMask и BeaconGate. Rasta Mouse описал работу данных опций в своем блоге, передаёт Securitylab.

 

  • User-Defined Reflective Loader (UDRL) позволяет заменить стандартный загрузчик Beacon на собственный, предоставляя операторам полный контроль над процессом загрузки DLL. Это открывает возможности для более сложных манипуляций, таких как использование нестандартных API для выделения памяти или изменение метаданных загружаемого файла. Однако при использовании UDRL настройки, заданные в профиле C2, игнорируются, что может вызывать конфликты с другими функциями, например, SleepMask.
  • SleepMask предназначен для скрытия данных Beacon в оперативной памяти во время бездействия, минимизируя риск обнаружения. Функция получает информацию о выделенной памяти через UDRL, что позволяет точнее контролировать процесс маскировки и уменьшать вероятность ошибок, например, невозможности скрыть часть данных или сбоя программы.
  • BeaconGate добавляет новый уровень маскировки, проксируя API-вызовы через пользовательский профиль SleepMask. Это позволяет выполнять такие действия, как подмена стека вызовов или добавление других методов уклонения от обнаружения, прежде чем результат передастся обратно в Beacon. Функция может взаимодействовать с различными системными вызовами.

Разработчикам предоставляется набор инструментов для настройки и интеграции данных функций. Например, можно определить пользовательские системные вызовы или использовать структуру BeaconGateWrapper для обработки проксированных вызовов, что делает Beacon ещё более универсальным, особенно в контексте разработки BOF-модулей (Beacon Object Files).

В будущем возможно объединение SleepMask и BeaconGate в единую систему или расширение их поддержки для произвольных вызовов API, что усилит функционал, одновременно усложнив задачи для ИБ-специалистов.

Темы:УгрозыCobalt Strikeантивирусы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...