Cobalt Strike 4.11 更新修复内容一览

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把“潇湘信安”设为星标，否则可能看不到了！

2025年3月19日发布了Cobalt Strike 4.11，这次更新引入了许多新功能和改进，增强了工具的功能性和灵活性，特别是在C2通信、反射加载器以及Beacon功能等方面。

这里列出了更新的详细列表，包括新功能、错误修复和更改等。包括信标系统的更新、DNS Over HTTPS (DOH) 支持、新的进程注入方法、aggressor脚本改进和各种用户界面调整等等。

https://www.cobalt strike.com/blog/cobalt-strike-411-shh-beacon-is-sleeping

March 2025 - Cobalt Strike 4.11

更新了 BeaconGetSyscallInformation API（与之前的版本不兼容）。
添加了“http-post”malleable C2组选项，用于控制POST响应中某些部分的大小，以绕过数据泄露防护解决方案并加速响应处理。使用“client_max_post_post_size”选项减少最大POST大小。减少该值会导致HTTP POST数据被拆分成多个较小的请求。使用“client_max_post_get_size”选项控制当Beacon使用GET请求将数据发送到HTTP Header时，拆分数据的大小（每个请求发送的数据）。增加该值可以加速下载并减少较大的HTTP GET请求。使用“client_max_post_get_packet”选项控制Beacon在每次周期（检查）中使用HTTP POST与GET请求时能处理的文件下载数据量。增加该值可以加速下载，但会增加每个周期的HTTP POST请求数量。
启用Beacon_config命令支持多个主机。
为DNS Beacon添加DNS Over HTTPS（DOH）支持。配置可以在“dns-beacon”malleable C2部分找到。默认启用该功能的选项通过“comm_mode”malleable C2选项设置。其他DOH配置选项可在“dns-over-https”malleable C2组中找到。您可以在从UI或Aggressor脚本生成负载时选择覆盖默认启用的DOH选项。
完善了默认的sleep mask，使得Beacon/sleepmask都通过专有的规避代码自动进行掩码。这适用于HTTP、HTTPS和DNS Beacon。
更新了Cobalt Strike客户端，以支持新的bread_pipe Aggressor函数，可以用来指定Beacon从指定的管道名称读取。
添加了异步运行多个BOF的能力，避免Beacon阻塞。该功能通过Arsenal Kit Postex Kit发布。
更新bread_pipe Aggressor函数，支持从支持read_postex_kit_blob_from_pipe格式的管道中读取数据。
为预加载加载器、Beacon和Arsenal Kit的功能/系统调用解析添加对额外Nt* API的支持。
在Beacon中添加了新的默认进程注入方法。
使预加载反射加载器成为Beacon使用的默认加载器。添加了“stage.rdll_loader”malleable C2选项，可以选择使用预加载（默认）或stomp加载器。
默认使用间接系统调用在预加载反射加载器中。添加了“stage.rdll_use_syscalls”malleable C2选项以禁用系统调用。
更改了“stage.obfuscate”的行为，将PE头复制到最终Beacon内存中的过程。 “stage.copy_pe_header”选项将执行该操作。添加了“stage.transform-obfuscate”选项，允许用户使用转换来混淆预加载加载器的Beacon DLL负载。
预加载反射加载器将解析系统调用并通过Beacon用户数据（BUD）传递给它们。
添加了支持通过“stage.eaf_bypass”选项处理伪PEB条目和EAT保护的功能。
更改了部分默认选项在.stage malleable C2中： sleep_mask :true transform-obfuscate: { xor 32 } cleanup : true
为客户端控制台添加了自动换行选项，以便在换行时更易于读取长文本行。
更改了选择的Beacon控制台标签，以便在Beacon表中选择Beacon时自动切换。
添加了更易于从凭证列表中复制数据的选项。
添加了将帮助命令的输出组织成组的选项，使其更容易查找。在Beacon和SSH控制台中输入“help help”查看相关信息。添加了“beacon_command_group”和“ssh_command_group”Aggressor命令，以定义自定义命令帮助组。添加了“help group ID”参数到“beacon_command_register”和“ssh_command_register”Aggressor命令，以便将命令链接到帮助组。
更改了客户端控制台的打开位置，使其在打开时位于底部。
添加了控制台缓冲区大小 - 偏好设置选项，允许更多的控制台数据，而不会发生截断。
更新了CS客户端，使其在多个地方双击响应更好。
更新了CS客户端，使其在右击选项卡时响应更好，以提示重命名选项卡。
为Beacon控制台添加了元数据命令行变量。输入“variables”命令以显示可在命令行中使用的变量列表。
修复了导入.jar文件时Aggressor脚本错误。
修复了TTP报告和IOC报告错误。
添加了禁用控制台窗口自动滚动的选项。
添加了Killdate事件日志记录。在客户端UI警告横幅中显示Killdate信息，提前30天显示。添加了“killdate”Aggressor函数以检索Killdate。
修复了偏好设置对团队服务器SSL指纹的错误识别，之前将其标识为SHA-1，而实际是SHA-256。
为make_token命令添加了UPN类型语法支持。
更改了Mac客户端控制台的键盘映射，使用标准Mac“Meta Command+...”快捷键进行全选、复制、剪切和粘贴。