Cobalt Strike 3.12破解版本

钴罢工3.12现在是可用的。这个版本增加了“混淆和休眠”的内存规避特性，给操作员[一些]对进程注入的控制，并引入了钩子来形成Beacon如何启动PowerShell。

模糊与睡眠

在环境中查找敌方存在的一种方法是清除所有正在运行的进程，寻找指示攻击活动的公共字符串。例如，搜索ReflectiveLoader字符串将找到驻留内存的反射DLL，这些DLL不会更改导出函数的名称。及时的记忆分析是防守球员能力的有力工具。

为了推动，科博尔特罢工3.12引入混乱和睡眠。这个特性正是它听起来的样子：比肯是（主要是）单线程信标代理。它请求任务，执行这些任务，然后进入睡眠状态。灯塔大部分时间都在睡觉。当模糊和睡眠被启用时，信标将在内存中模糊，在它进入睡眠之前。当代理唤醒时，它将恢复到原来的状态。

为了使混淆和睡眠，将阶段->睡眠掩码选项设置为真的在您的延展性C2配置文件中。

阶段{

设置睡眠面具“真”；

}

这一特点与钴击的其他内存规避/威胁仿真特性很好地发挥了作用。我建议使用科博尔特罢工3.11的清理选项时，启用睡眠掩码。

Re: SMB信标

混淆和睡眠功能有利于HTTP、HTTPS和DNS信标。SMB信标不会像这些代理那样睡觉。这意味着SMB信标不会混淆自己（它没有机会这样做）。一个未来的钴罢工更新可能找到一种方法，偷偷进入SMB信标这一特点。

延展过程注射

工艺注射是一项重要的进攻技术，广泛应用于整个钴击过程中。这个版本让操作员控制比肯是如何进行过程注射的。这是通过可锻C2工艺注入块完成的：

进程注入{

不要分配少于这个的任何东西

设置MimelOLLC“16384”；

许可证RWX，RX

设置StrRTWX“真”；

设置USEWX“假”；

捏造内容。

转换x86{

预置“\x90\x90\x90”；

}

变换x64

……

}

我们不想用这个电话。

禁用“CurraseExtType”；

}

这些选项既包括注入的内容，又包括比肯的过程注入行为：

MixOLLC选项指定比肯将在远程进程中分配的最小内存量。StrRTWX和USERWX选项对远程进程中分配的内存的初始权限和最终权限进行控制。

转换x66和转换x64块可以填充任何注入的DLL或外壳代码。如果您选择准备数据，请确保它是特定架构的有效代码。没有支票。

最后，禁用动词要求比肯在执行标准过程注入例程时避免某些API调用。现在，您可以禁用CureRealTeType、RTLCurtAuthError或StTeRealEngress。

更多的力量（壳牌）给你！

钴击在许多自动化中使用了动力壳。PopeS壳命令允许操作符执行任意的CMDLET。PSExtRePSH通过一个PultS壳一个衬套引导一个在远程目标上的会话。SpavaNS命令使用PuthSek作为另一个用户运行新会话。

虽然可以在没有PowerShell的情况下进行操作，但有时只需要进行一些调整就可以在环境中安全地使用PowerShell。钴罢工3.12介绍了形状的PopeS壳命令行和下载支架在比肯自动化使用的选项。

原版：https://github.com/microidz/Cobaltstrike-Trial
校验：https://verify.cobaltstrike.com/
xor.bin：https://github.com/verctor/CS_xor64
项目地址：https://github.com/ssooking/cobaltstrike3.12_cracked
github上因为DMCA不能上传了，这里给个网盘链接：
链接：https://pan.baidu.com/s/1n6h2w5j0TCx9GnnC5Z7gZg
提取码：1sxu