2023 年 9 月 19 日 – Cobalt Strike 4.9授权文件不再向后兼容。更改了后缀 DLL，以使用预加载器（sRDI/Double Pulsar）。已在 browserpivot、hashdump、invokeassembly、keylogger、mimikatz、netview、portscan、powershell、screenshot 和 sshagent 中实施。已添加 Aggressor 挂钩，用于将 UDRL 应用于后缀 DLL (POSTEX_RDLL_GENERATE)。为 postex DLL 处理添加了 transform.strrep 支持。已添加 postex.cleanup malleable C2 配置文件属性。已为 POSTEX_RDLL_GENERATE 钩子添加智能注入指针。添加了 Beacon，但没有导出 ReflectiveLoader 函数，以支持预置的 UDRL（sRDI/双脉冲星）。BEACON_RDLL_SIZE 函数的默认值从 0 改为 5k。当 BEACON_RDLL_SIZE 返回 0 时，将向 BEACON_RDLL_GENERATE 和 BEACON_RDLL_GENERATE_LOCAL 钩子传递不带反射加载器的信标。已添加 Beacon 用户数据，以便通过 UDRL 传递用户指定的信息。已添加对系统调用函数地址/编号的支持。为 Beacon 用户数据添加了用户指定字段。已添加 BOF API 函数，用于获取用户数据指针。已添加数据存储（data-store）命令，以便在 beacon 数据存储中存储 BOF 和 .NET 程序集。已添加 aggressor 脚本函数，用于支持 beacon 数据存储。已添加 BOF API 函数，用于访问和保护 beacon 数据存储区中的存储项目。支持在冒充用户安全上下文下生成进程。在 beacon 中添加了 DuplicateHandle、ReadProcessMemory 和 WriteProcessMemory 系统调用。为主机配置文件添加了可变 C2 配置文件定义，以便自定义 HTTP(S) get/post 的 uri、标头和参数属性，使其具有主机特定性和动态性。为攻击者脚本函数添加了回调支持：bnet、beacon_inline_execute、binline_execute、bdllspawn、bexecute_assembly、bhashdump、bmimikatz、bmimikatz_small、bportscan、bpowerpick、bpowershell 和 bpsinject。添加了对基于 WinHTTP 库的 HTTP(S) 信标的支持。已添加 .http-beacon.library Malleable C2 设置，用于指定默认信标 http 库类型（wininet|winhttp）。已添加攻击者脚本支持，用于在客户端之间发送/接收数据。已添加 BOF API，用于访问 beacon 中的键/值存储。已添加 BOF API 以检索睡眠掩码信息。已添加可变 C2 睡眠设置，以匹配睡眠命令语法。修复了睡眠掩码 BOF 的可变 C2 strrep 设置问题。修复了可变 C2 headers_remove 设置。修复了带有 Content-Type 选项的可变 C2 http-config.headers 设置中添加 “Content-Type: null “头的问题。当使用数据抖动和追加时，修正了 c2lint 语法高亮显示。修复了 steal_token 命令打开受保护进程的问题。说明亲测可用，为了你的安全,请放在虚拟机中测试。