Cobalt Strike 3.12破解版本
钴罢工3.12现在是可用的。这个版本增加了“混淆和休眠”的内存规避特性,给操作员[一些]对进程注入的控制,并引入了钩子来形成Beacon如何启动PowerShell。
模糊与睡眠
在环境中查找敌方存在的一种方法是清除所有正在运行的进程,寻找指示攻击活动的公共字符串。例如,搜索ReflectiveLoader字符串将找到驻留内存的反射DLL,这些DLL不会更改导出函数的名称。及时的记忆分析是防守球员能力的有力工具。
为了推动,科博尔特罢工3.12引入混乱和睡眠。这个特性正是它听起来的样子:比肯是(主要是)单线程信标代理。它请求任务,执行这些任务,然后进入睡眠状态。灯塔大部分时间都在睡觉。当模糊和睡眠被启用时,信标将在内存中模糊,在它进入睡眠之前。当代理唤醒时,它将恢复到原来的状态。
为了使混淆和睡眠,将阶段->睡眠掩码选项设置为真的在您的延展性C2配置文件中。
阶段{
设置睡眠面具“真”;
}
这一特点与钴击的其他内存规避/威胁仿真特性很好地发挥了作用。我建议使用科博尔特罢工3.11的清理选项时,启用睡眠掩码。
Re: SMB信标
混淆和睡眠功能有利于HTTP、HTTPS和DNS信标。SMB信标不会像这些代理那样睡觉。这意味着SMB信标不会混淆自己(它没有机会这样做)。一个未来的钴罢工更新可能找到一种方法,偷偷进入SMB信标这一特点。
延展过程注射
工艺注射是一项重要的进攻技术,广泛应用于整个钴击过程中。这个版本让操作员控制比肯是如何进行过程注射的。这是通过可锻C2工艺注入块完成的:
进程注入{
不要分配少于这个的任何东西
设置MimelOLLC“16384”;
许可证RWX,RX
设置StrRTWX“真”;
设置USEWX“假”;
捏造内容。
转换x86{
预置“\x90\x90\x90”;
}
变换x64
……
}
我们不想用这个电话。
禁用“CurraseExtType”;
}
这些选项既包括注入的内容,又包括比肯的过程注入行为:
MixOLLC选项指定比肯将在远程进程中分配的最小内存量。StrRTWX和USERWX选项对远程进程中分配的内存的初始权限和最终权限进行控制。
转换x66和转换x64块可以填充任何注入的DLL或外壳代码。如果您选择准备数据,请确保它是特定架构的有效代码。没有支票。
最后,禁用动词要求比肯在执行标准过程注入例程时避免某些API调用。现在,您可以禁用CureRealTeType、RTLCurtAuthError或StTeRealEngress。
更多的力量(壳牌)给你!
钴击在许多自动化中使用了动力壳。PopeS壳命令允许操作符执行任意的CMDLET。PSExtRePSH通过一个PultS壳一个衬套引导一个在远程目标上的会话。SpavaNS命令使用PuthSek作为另一个用户运行新会话。
虽然可以在没有PowerShell的情况下进行操作,但有时只需要进行一些调整就可以在环境中安全地使用PowerShell。钴罢工3.12介绍了形状的PopeS壳命令行和下载支架在比肯自动化使用的选项。
原版:https://github.com/microidz/Cobaltstrike-Trial
校验:https://verify.cobaltstrike.com/
xor.bin:https://github.com/verctor/CS_xor64
项目地址:https://github.com/ssooking/cobaltstrike3.12_cracked
github上因为DMCA不能上传了,这里给个网盘链接:
链接:https://pan.baidu.com/s/1n6h2w5j0TCx9GnnC5Z7gZg
提取码:1sxu