13SEC NEWS

Sliver Red Team Tool ganhando força entre os Red Team

Pedro Henrique 2 years ago 2 min read
Sliver Red Team Tool
Compartilhe

O que começou como uma alternativa ao Cobalt Strike tornou-se uma estrutura C2 da moda para agentes de ameaças. O Sliver, originalmente uma emulação de adversário de plataforma cruzada de código aberto/estrutura de equipe vermelha, fornece todos os recursos essenciais para a simulação de adversários. Alguns deles incluem geração dinâmica de código, ofuscação em tempo de compilação, modo multijogador, payloads com e sem estágios e integração com o Let’s Encrypt.

Um pouco sobre Sliver

  • Sliver oferece C2 seguro sobre mTLS, WireGuard, HTTP(S) e DNS, migração de processo do Windows, injeção de processo, manipulação de token de usuário, .NET na memória, execução de montagem, carregador na memória COFF/BOF e TCP e pipe nomeado pivôs.
  • A estrutura contém um gerenciador de pacotes de extensão (arsenal) que permite fácil instalação (compilação automática) de várias ferramentas de terceiros, como BOFs e ferramentas .NET, incluindo Ghostpack (Rubeus, Seatbelt, SharpUp, Certify e mais).

Agentes de ameaças aproveitando o Sliver

Equipes de pesquisa em todo o mundo observaram vários grupos de ameaças usando ativamente o Sliver.

  • A equipe GSOC da Cybereason relatou recentemente que o grupo Exotic Lily estava usando arquivos LNK para distribuir o malware BumbleBee loader.
  • Em junho de 2022, em uma campanha AvosLocker de um mês , os invasores utilizaram várias ferramentas diferentes, incluindo Cobalt Strike, Sliver e vários scanners de rede comercial.
  • No mesmo mês, um agente de ameaças chamado DriftingCloud foi encontrado distribuindo três famílias de malware de código aberto, incluindo PupyRAT, Pantegana e Sliver.
  • Em outubro de 2021, TA551 , também conhecido como Shathak, implantou a estrutura diretamente após o vetor de infecção inicial para muito mais flexibilidade.
  • Em maio de 2021, o grupo de hackers russo APT29, também conhecido como SVR , estava aproveitando essa estrutura para garantir a persistência em uma rede comprometida.

Identificação e mitigações

A estrutura cria uma rede exclusiva e assinaturas de sistema, o que torna eficiente a detecção e impressão digital do servidor de infraestrutura. Para detectar ataques Sliver C2, recomenda-se que os usuários naveguem para Prevenção de Execução Comportamental (BEP) na política do sensor e definam BEP e Variant Payload Prevention como Prevent. Eles são sugeridos para lidar com arquivos originários de fontes externas, como e-mails e navegação na web com cuidado.

Tags:

+Mais

Legisladores dos EUA se mobilizam para vetar o DeepSeek da China em aparelhos governamentais
3 min read

Legisladores dos EUA se mobilizam para vetar o DeepSeek da China em aparelhos governamentais

3 months ago Mara Daniella
Hackers explorando bug do plug-in WP-Automatic
3 min read

Hackers explorando bug do plug-in WP-Automatic

1 year ago Redacao
Ataques Cibernéticos - TOP 10 Tendências Para 2024
3 min read

Ataques Cibernéticos – TOP 10 Tendências Para 2024

1 year ago Redacao