March 2025 - Cobalt Strike 4.11

更新了 BeaconGetSyscallInformation API（与之前版本不兼容的变更）。
添加了 "http-post" malleable C2 组选项，用于控制 POST 响应的各部分大小，以绕过数据泄露防护解决方案并加快响应处理速度。使用 "client_max_post_post_size" 选项可以减小最大发布大小。减小此值将导致 HTTP 发布的数据（使用 POST 动词）被分割成多个较小的请求。使用 "client_max_post_get_size" 选项可以控制当 beacon 使用 GET 动词将数据发布到 HTTP 头时，分块数据（每个请求发送的数据）的大小。增加此大小可以加快下载速度，并创建更少但更大的 HTTP 发布 GET 动词请求。使用 "client_max_post_get_packet" 选项可以控制当使用带 GET 动词的 HTTP Posts 时，beacon 在一个周期（检查）内可以处理的文件下载数据量。增加此大小可以加快下载速度，但会在每个周期创建更多的 HTTP post 请求。
为 beacon_config 命令添加了多主机支持。
为 DNS beacon 添加了 DNS Over HTTPS (DOH) 支持。配置可在 "dns-beacon" malleable C2 部分中找到。启用该功能的默认选项通过 "comm_mode" malleable C2 选项设置。其他 DOH 配置选项可在 "dns-over-https" malleable C2 组中找到。您可以在从 UI 或 Aggressor 脚本生成有效载荷时选择覆盖默认的 DOH 启用选项。
全面改进默认的 sleep mask，使 beacon/sleepmask 都使用专有规避代码自动掩码。这适用于 HTTP、HTTPS 和 DNS Beacon。
更新了 Cobalt Strike 客户端以支持新的 bread_pipe aggressor 函数，该函数可用于指示 beacon 从指定的管道名称读取。
添加了异步运行多个 BOF 而不阻塞 beacon 的功能。此功能通过 Arsenal Kit Postex Kit 发布。
更新 bread_pipe aggressor 函数以支持从支持 read_postex_kit_blob_from_pipe 格式的管道读取。
在预置加载器、Beacon 和 Arsenal Kit 中为 Nt* API 添加了额外的函数/系统调用解析支持。
在 Beacon 中添加了新的默认进程注入方法。
使预置反射加载器成为 Beacon 使用的默认加载器。添加了 "stage.rdll_loader" malleable c2 选项以使用预置（默认）或 stomp 加载器。
默认在预置反射加载器中使用间接系统调用。添加了 "stage.rdll_use_syscalls" malleable c2 选项以禁用系统调用。
更改了 "stage.obfuscate" 的行为，将 PE 头复制到最终 beacon 内存中的操作解耦。 "stage.copy_pe_header" 选项将执行该操作。添加了 "stage.transform-obfuscate"，允许用户使用转换来混淆预置加载器的 beacon dll 有效载荷。
预置反射加载器将解析系统调用并通过 beacon 用户数据（BUD）传递给它们。
添加了使用 "stage.eaf_bypass" 选项处理假 PEB 条目和 EAT 保护的支持。
更改了 .stage malleable C2 中的一些默认选项： sleep_mask :true transform-obfuscate: { xor 32 } cleanup : true
添加了客户端控制台选项，用于在单词断点处换行长文本。
更改选定的 beacon 控制台标签，以随 beacon 表所选 beacon 的变化而切换。
添加了从凭据列表中更轻松复制数据的选项。
添加了将帮助命令的输出组织成组的选项，以便更容易找到内容。在 beacon 和 SSH 控制台中查看 "help help"。添加了 "beacon_command_group" 和 "ssh_command_group" aggressor 命令以定义自定义命令帮助组。在 "beacon_command_register" 和 "ssh_command_register" aggressor 命令中添加了帮助组 ID 参数，用于将命令链接到帮助组。
更改了客户端控制台在打开时位于底部。