Cobalt Strike 4.12 が正式リリース:REST API/User Defined C2 などを導入

Cobalt Strike 4.12 Adds New Injection, UAC Bypasses & C2 Features

2025/11/25 gbhackers — Fortra が、Cobalt Strike 4.12 を正式にリリースした。そこで導入されたのは、レッドチーム・オペレーションと攻撃的セキュリティ調査を強化するために設計された、包括的な新機能のスイートである。このアップデートに新たに含まれるものには、最新の GUI/画期的な REST API/User Defined Command and Control (UDC2)/高度なプロセス・インジェクション技術/新しい UAC バイパスなどに加えて、段階的にロードする Malleable C2 オプションにより強化された回避機能がある。

さらに、この最新リリースでは、Dracula/Solarized/Monokai など複数のカスタマイズ可能なテーマを備え、完全に再設計された GUI が採用されている。更新された Pivot Graph の視覚化では、Egress Beacon のリスナー名と、Ingress Beacon の Pivot タイプ (SMB/TCP) が表示されるようになり、交戦中のオペレーターであっても、より明確に状況を把握できる。

An image carousel showing different themes for Cobalt Strike 4.12.
An image carousel showing different themes for Cobalt Strike 4.12.

最も重要な追加機能は、現在はベータ版としてリリースされている新しい REST API だと Fortra は述べている。この機能によりレッドチームのオペレーターは、任意のプログラミング言語を使用して Cobalt Strike のスクリプトを作成できるようになり、高度な自動化とサーバ・サイド・ストレージ機能を容易に実現できる。

この API が切り開く道筋には、カスタム Cobalt Strike クライアントの開発や、Anthropic の Claude AI 向け PoC MCP サーバで実証された機械学習ツールとの統合などがある。

User Defined Command and Control (UDC2)

UDC2 は、従来の extc2 フレームワークから大きく進化している。名前付きパイプと SMB ビーコン・リレーに依存していた旧型とは異なり、UDC2 ではセキュリティ研究者がカスタム C2 チャネルを Beacon Object File (BOF) として開発できる。

UDC2 BOF はペイロード作成時に直接統合され、すべてのビーコン・トラフィックをカスタム・チャネル経由でプロキシしながら、カスタムな User Defined Reflective Loader (UDRL) との互換性を維持する。

Fortra はカスタム・チャネル開発を加速するために、UDC2-VS 開発フレームワークと並行して ICMP UDC2 実装をオープンソース化している。

Process Injection GUI.
Process Injection GUI.

Cobalt Strike 4.12 では、BOF として実装される4つの新しいプロセス・インジェクション手法が導入されている。

  • RtlCloneUserProcess:DirtyVanity の調査に基づき、クローン・プロセスを利用して EDR 検出を回避する。
  • TpDirect:ターゲット・プロセスの TP_DIRECT 構造体を操作してリモート・スレッドを作成する。
  • TpStartRoutineStub:スレッド・プール操作を利用してコードを実行する。
  • EarlyCascade:プロセス初期化ルーチンをリダイレクトして、ステルス性の高い fork/run インジェクションを実行する。

オペレーターは、新しい Aggressor フック (PROCESS_INJECT_EXPLICIT_USER/PROCESS_INJECT_SPAWN_USER) を通じてカスタム・インジェクション手法を追加できるようになるため、フレームワークの拡張性が高まる。

UAC バイパスの刷新と回避

2つの新しい UAC バイパスが追加されたが、それらは Windows 10〜Windows 11 24H2 に対して互換性を維持している。具体的には、uac-rpc-dom (James Forshaw の AppInfo ALPC バイパスに基づく) と、uac-cmlua (ICMLuaUtil の昇格 COM インターフェイスを利用) である。

このリリースでは、リフレクション・ローディングとプロセス・インジェクションに対応するドリップ・ローディング機能も導入されている。これらの機能は、Malleable C2 オプションを介した設定が可能である。この手法では、ペイロードが小さなチャンクに分割され、遅延を設定して書き込まれるため、EDR イベント相関検出手法を妨害できる。

その他の改善点としては、IPv6 SOCKS5 のサポート/新しい Mac/Linux ディストリビューション向けの SSH ビーコン互換性の修正/タスク ID マッピングによるログ機能の強化/Java 17 の最小要件に対する更新などがある。

Pivot ビーコンは、バージョン 4.11 で導入された回避機能 Sleepmask をサポートするようになった。それにより非同期通信が簡素化され、コードの複雑さが軽減される。

新しい BeaconDownload BOF API により、最大 2GB のメモリ内バッファ・ダウンロードが可能になり、資格情報のダンプ操作におけるディスク書き込みが不要となった。

今回の Cobalt Strike のアップデートでは、多数の新機能が追加され、その攻撃手法の高度化に注目が集まります。新しい REST API や UDC2、各種インジェクション手法の導入により、従来よりも柔軟かつ複雑な操作が可能になっています。これらの多くは、既存の分析手法を回避するための設計であり、EDR などの検出基盤にとって負荷が増す要因になります。よろしければ、Cobalt Strike での検索結果も、ご参照ください。