Nova versão da Cobalt Strike reforça capacidades de evasão para red team

A Cobalt Strike lançou a versão 4.11 da sua plataforma de testes de intrusão, introduzindo avanços significativos nas capacidades de evasão e reforçando a sua relevância para red team.

A atualização foca-se na melhoria da resistência contra ferramentas de deteção, através de novas técnicas de injeção de processos, métodos de comunicação furtivos e opções avançadas de ofuscação, o que permite reduzir a necessidade de personalização por parte dos utilizadores.

Entre as principais inovações, destaca-se uma nova Sleepmask que oculta automaticamente o Beacon e as suas alocações de memória, dificultando a deteção por assinaturas estáticas. A atualização também inclui a técnica de injeção de processo ObfSetThreadContext, agora adotada como padrão, permitindo evitar a deteção de threads injetados por soluções de segurança que analisam endereços de memória suspeitos.

A proteção da carga útil do Beacon foi reforçada com um novo carregador reflexivo, que suporta técnicas avançadas de desvio e chamadas indiretas ao sistema. Além disso, um novo método de transform-obfuscate pode aplicar múltiplas camadas de encriptação e codificação, aumentando a complexidade para ferramentas de análise.

A comunicação em rede também foi aprimorada com a introdução do DNS sobre HTTPS (DoH) para o Beacon, permitindo uma exfiltração mais discreta. A funcionalidade está configurada, por defeito, para utilizar servidores Cloudflare, mas pode ser personalizada conforme necessário. Melhorias na interface gráfica e na facilidade de utilização geral também foram implementadas, tornando a operação da ferramenta mais eficiente.