Cobalt Strike усиливает арсенал: новые функции ставят под угрозу методы киберзащиты

03.12.2024

Cobalt Strike, инструмент для моделирования кибератак, представил новые функции, которые могут серьезно усложнить задачу специалистов по информационной безопасности. Недавние обновления включают в себя User-Defined Reflective Loader (UDRL), SleepMask и BeaconGate, которые значительно расширяют возможности маскировки вредоносного кода в зараженных системах.

UDRL дает злоумышленникам возможность заменить стандартный загрузчик Beacon на собственный, что позволяет более тонко настраивать процесс инжектирования DLL и избегать обнаружения. Однако такая свобода приходит с риском: при неправильной настройке возможны конфликты с другими функциями, такими как SleepMask.

SleepMask, в свою очередь, способна скрывать следы Beacon в оперативной памяти в периоды бездействия, уменьшая вероятность обнаружения вредоносного ПО антивирусами. Это достигается за счет более точного контроля над выделенной памятью, что повышает эффективность маскировки.

BeaconGate вносит новшество, позволяя проксировать API-вызовы через пользовательский профиль SleepMask, что открывает дополнительные возможности для манипуляции данными и обхода систем защиты.

Эти усовершенствования Cobalt Strike могут значительно усложнить работу ИБ-специалистов, обеспечивая злоумышленникам более глубокий уровень анонимности и управления взломанными системами. Разработчики предоставляют мощные инструменты для интеграции и настройки новых функций, делая Cobalt Strike еще более мощным решением в арсенале киберпреступников.