首页 渗透工具 正文
  • 本文约1725字,阅读需9分钟
  • 5512
  • 0

Cobalt Strike 3.12破解版本

钴罢工3.12现在是可用的。这个版本增加了“混淆和休眠”的内存规避特性,给操作员[一些]对进程注入的控制,并引入了钩子来形成Beacon如何启动PowerShell。

 

模糊与睡眠

在环境中查找敌方存在的一种方法是清除所有正在运行的进程,寻找指示攻击活动的公共字符串。例如,搜索ReflectiveLoader字符串将找到驻留内存的反射DLL,这些DLL不会更改导出函数的名称。及时的记忆分析是防守球员能力的有力工具。

 

为了推动,科博尔特罢工3.12引入混乱和睡眠。这个特性正是它听起来的样子:比肯是(主要是)单线程信标代理。它请求任务,执行这些任务,然后进入睡眠状态。灯塔大部分时间都在睡觉。当模糊和睡眠被启用时,信标将在内存中模糊,在它进入睡眠之前。当代理唤醒时,它将恢复到原来的状态。

 

 

为了使混淆和睡眠,将阶段->睡眠掩码选项设置为真的在您的延展性C2配置文件中。

 

阶段{

设置睡眠面具“真”;

}

这一特点与钴击的其他内存规避/威胁仿真特性很好地发挥了作用。我建议使用科博尔特罢工3.11的清理选项时,启用睡眠掩码。

 

Re: SMB信标

 

混淆和睡眠功能有利于HTTP、HTTPS和DNS信标。SMB信标不会像这些代理那样睡觉。这意味着SMB信标不会混淆自己(它没有机会这样做)。一个未来的钴罢工更新可能找到一种方法,偷偷进入SMB信标这一特点。

 

延展过程注射

工艺注射是一项重要的进攻技术,广泛应用于整个钴击过程中。这个版本让操作员控制比肯是如何进行过程注射的。这是通过可锻C2工艺注入块完成的:

 

进程注入{

不要分配少于这个的任何东西

设置MimelOLLC“16384”;

 

许可证RWX,RX

设置StrRTWX“真”;

设置USEWX“假”;

 

捏造内容。

转换x86{

预置“\x90\x90\x90”;

}

 

变换x64

……

}

 

我们不想用这个电话。

禁用“CurraseExtType”;

}

这些选项既包括注入的内容,又包括比肯的过程注入行为:

 

MixOLLC选项指定比肯将在远程进程中分配的最小内存量。StrRTWX和USERWX选项对远程进程中分配的内存的初始权限和最终权限进行控制。

 

转换x66和转换x64块可以填充任何注入的DLL或外壳代码。如果您选择准备数据,请确保它是特定架构的有效代码。没有支票。

 

最后,禁用动词要求比肯在执行标准过程注入例程时避免某些API调用。现在,您可以禁用CureRealTeType、RTLCurtAuthError或StTeRealEngress。

 

更多的力量(壳牌)给你!

钴击在许多自动化中使用了动力壳。PopeS壳命令允许操作符执行任意的CMDLET。PSExtRePSH通过一个PultS壳一个衬套引导一个在远程目标上的会话。SpavaNS命令使用PuthSek作为另一个用户运行新会话。

 

虽然可以在没有PowerShell的情况下进行操作,但有时只需要进行一些调整就可以在环境中安全地使用PowerShell。钴罢工3.12介绍了形状的PopeS壳命令行和下载支架在比肯自动化使用的选项。

 

原版:https://github.com/microidz/Cobaltstrike-Trial
校验:https://verify.cobaltstrike.com/
xor.bin:https://github.com/verctor/CS_xor64
项目地址:https://github.com/ssooking/cobaltstrike3.12_cracked
github上因为DMCA不能上传了,这里给个网盘链接:
链接:https://pan.baidu.com/s/1n6h2w5j0TCx9GnnC5Z7gZg
提取码:1sxu 
标签:cobalt strike
温馨提示:本文最后更新于2018年10月24日 00:29,若内容或图片失效,请在下方留言或联系博主。
评论
博主关闭了评论