Cobalt Strike, arriva la versione 4.9: cosa cambia?

Cobalt Strike, il software che permette la simulazione di un’aggressione informatica, è stato aggiornato alla versione 4.9.

Il programma, capace di emulare minacce realistiche, viene ampiamente utilizzato nel contesto IT per testare le capacità difensive di infrastrutture professionali rispetto attacchi malware di vario tipo.

Per poter usufruire dell’aggiornamento, gli utenti in possesso di una regolare licenza possono scaricare il software aggiornato dal sito ufficiale oppure, con Cobalt Strike già installato, eseguire l’update direttamente dallo stesso.

Quali sono le novità introdotte con questa nuova versione?

Le funzionalità post-sfruttamento di Cobalt Strike sono state aggiornate e le seguenti DLL post-sfruttamento ora supportano le repliche dei loader definite dall’utente in stile prepend:

• browserpivot 
• hashdump 
• invokeassembly 
• keylogger 
• mimikatz 
• netview 
• portscan 
• powershell 
• screenshot 
• sshagent.

Altre novità introdotte con l’aggiornamento riguardano il supporto callback. Gli stessi sviluppatori hanno affermato come “Abbiamo ricevuto numerose richieste da parte dei nostri utenti per semplificare l’elaborazione dei risultati di determinate chiamate di funzione. Ciò risulta impegnativo a causa della natura asincrona delle comunicazioni di Cobalt Strike, ma questo problema è stato risolto in questa versione aggiungendo callback per diverse funzioni integrate“.

Cobalt Strike 4.9 si aggiorna e introduce diverse novità

Un’altra introduzione interessante di Cobalt Strike 4.9 è il supporto WinHTTP, come spiegato dallo stesso team di sviluppo “È stato creato un nuovo gruppo Malleable C2, .http-beacon. Inoltre, è stata aggiunta un’opzione .http-beacon.library per consentire di impostare la libreria predefinita utilizzata durante la creazione di un nuovo listener HTTP(S)“.

Altre novità riguardano il supporto del profilo host per HTTPS listener, aggiornamenti nel contesto BOF (con tre nuove API) e un più generico aggiornamento riguardante la sicurezza del software.

Riguardo quest’ultima voce, gli sviluppatori hanno sottolineato come “È stata apportata una modifica ai file di autorizzazione in modo che non siano più retrocompatibili con le versioni precedenti di Cobalt Strike. Ciò significa che il file di autorizzazione generato quando si aggiorna o si installa la versione 4.9 non funzionerà con nessuna versione 4.8“.