サイバーニュース.jp

世界のサイバーなニュースを配信

Cobalt Strike 4.12が新インジェクション、UACバイパス、C2機能を搭載して登場

カテゴリ:

はじめに

Fortraは、レッドチームのオペレーションと攻撃的セキュリティ研究を強化するために設計された、新機能スイートを搭載したCobalt Strike 4.12を正式にリリースしました。このアップデートは、現代化されたGUI、画期的なREST API、User Defined Command and Control (UDC2)などの重要な進化をもたらし、攻撃能力と回避能力を大幅に向上させています。

主要な新機能と強化点

今回のリリースでは、以下の主要な機能が追加・強化されています。

  • モダンなグラフィカルユーザーインターフェース (GUI): Dracula、Solarized、Monokaiなどのカスタマイズ可能なテーマを備え、完全に再設計されました。
  • 画期的なREST API (ベータ版): 初めて任意のプログラミング言語でCobalt Strikeをスクリプト化できるようになり、高度な自動化とサーバーサイドストレージ機能を実現します。
  • User Defined Command and Control (UDC2): レガシーなextc2フレームワークから大きく進化し、Beacon Object Files (BOFs)としてカスタムC2チャネルを開発できるようになりました。
  • 高度なプロセスインジェクション技術: 4つの新しいインジェクション手法が導入され、EDR検出の回避能力が向上しました。
  • 新しいUACバイパス: Windows 10からWindows 11 24H2まで対応する2つのUACバイパスが追加されました。
  • 強化された回避能力: ドリップローディングのMalleable C2オプションを介してペイロードを分割し、EDRのイベント相関検出を妨害します。

各機能の詳細

モダン化されたGUIとPivot Graph

刷新されたGUIは、オペレーターに洗練されたエクスペリエンスを提供します。更新されたPivot Graphは、エグレスビーコンのリスナー名や、イングレスビーコンのピボットタイプ(SMB/TCP)を表示し、状況認識をより明確にします。

画期的なREST API

最も重要な追加機能の一つが、ベータ版としてリリースされたREST APIです。これにより、レッドチームのオペレーターは初めて任意のプログラミング言語でCobalt Strikeをスクリプト化できるようになり、高度な自動化やサーバーサイドストレージ機能が促進されます。また、カスタムのCobalt Strikeクライアントの開発や、AnthropicのClaude AI向けMCPサーバーの概念実証による機械学習ツールとの統合も可能になります。

User Defined Command and Control (UDC2)

UDC2は、従来のextc2フレームワークからの大幅な進化です。これは、セキュリティ研究者がBeacon Object Files (BOFs)としてカスタムC2チャネルを開発することを可能にします。UDC2 BOFはペイロード作成時に直接統合され、カスタムのUser Defined Reflective Loaders (UDRLs)との互換性を維持しながら、すべてのビーコントラフィックをカスタムチャネル経由でプロキシします。カスタムチャネル開発を加速するため、FortraはICMP UDC2の実装とUDC2-VS開発フレームワークをオープンソース化しています。

高度なプロセスインジェクション

Cobalt Strike 4.12は、BOFとして実装された4つの新しいプロセスインジェクション技術を導入しています。

  • RtlCloneUserProcess: DirtyVanityの研究に基づき、複製されたプロセスを利用してEDR検出を回避します。
  • TpDirect: ターゲットプロセスのTP_DIRECT構造を操作し、リモートスレッドを作成します。
  • TpStartRoutineStub: スレッドプール操作を悪用し、コードを実行します。
  • EarlyCascade: プロセス初期化ルーチンをリダイレクトし、ステルス性の高いフォーク/ランインジェクションを実現します。

オペレーターは、新しいAggressorフック(PROCESS_INJECT_EXPLICIT_USER/PROCESS_INJECT_SPAWN_USER)を通じて、カスタムインジェクション技術を追加することも可能です。

UACバイパスと回避技術

Windows 10からWindows 11 24H2まで対応する2つの新しいUACバイパスが追加されました。これには、James ForshawのAppInfo ALPCバイパスに基づくuac-rpc-domと、ICMLuaUtil昇格COMインターフェースを利用するuac-cmluaが含まれます。さらに、Malleable C2オプションを通じて設定可能な、反射型ローディングとプロセスインジェクションの両方に対するドリップローディング機能が導入されました。この技術は、ペイロードを小さな塊で設定可能な遅延を伴って書き込み、EDRのイベント相関検出方法を妨害します。

その他の改善点

その他の改善には、IPv6 SOCKS5のサポート、新しいMac/Linuxディストリビューション向けSSH Beaconの互換性修正、タスクIDマッピングによるログの強化、Java 17の最低要件更新が含まれます。Pivot Beaconは、バージョン4.11で導入されたエフェイシブなSleepmaskをサポートし、非同期通信が簡素化されコードの複雑さが軽減されています。新しいBeaconDownload BOF APIは、資格情報のダンプ操作に不可欠な最大2GBのインメモリバッファダウンロードをディスク書き込みなしで可能にします。

元記事: https://gbhackers.com/cobalt-strike-4-12/

投稿をさらに読み込む