
O que começou como uma alternativa ao Cobalt Strike tornou-se uma estrutura C2 da moda para agentes de ameaças. O Sliver, originalmente uma emulação de adversário de plataforma cruzada de código aberto/estrutura de equipe vermelha, fornece todos os recursos essenciais para a simulação de adversários. Alguns deles incluem geração dinâmica de código, ofuscação em tempo de compilação, modo multijogador, payloads com e sem estágios e integração com o Let’s Encrypt.
Um pouco sobre Sliver
- Sliver oferece C2 seguro sobre mTLS, WireGuard, HTTP(S) e DNS, migração de processo do Windows, injeção de processo, manipulação de token de usuário, .NET na memória, execução de montagem, carregador na memória COFF/BOF e TCP e pipe nomeado pivôs.
- A estrutura contém um gerenciador de pacotes de extensão (arsenal) que permite fácil instalação (compilação automática) de várias ferramentas de terceiros, como BOFs e ferramentas .NET, incluindo Ghostpack (Rubeus, Seatbelt, SharpUp, Certify e mais).
Agentes de ameaças aproveitando o Sliver
Equipes de pesquisa em todo o mundo observaram vários grupos de ameaças usando ativamente o Sliver.
- A equipe GSOC da Cybereason relatou recentemente que o grupo Exotic Lily estava usando arquivos LNK para distribuir o malware BumbleBee loader.
- Em junho de 2022, em uma campanha AvosLocker de um mês , os invasores utilizaram várias ferramentas diferentes, incluindo Cobalt Strike, Sliver e vários scanners de rede comercial.
- No mesmo mês, um agente de ameaças chamado DriftingCloud foi encontrado distribuindo três famílias de malware de código aberto, incluindo PupyRAT, Pantegana e Sliver.
- Em outubro de 2021, TA551 , também conhecido como Shathak, implantou a estrutura diretamente após o vetor de infecção inicial para muito mais flexibilidade.
- Em maio de 2021, o grupo de hackers russo APT29, também conhecido como SVR , estava aproveitando essa estrutura para garantir a persistência em uma rede comprometida.
Identificação e mitigações
A estrutura cria uma rede exclusiva e assinaturas de sistema, o que torna eficiente a detecção e impressão digital do servidor de infraestrutura. Para detectar ataques Sliver C2, recomenda-se que os usuários naveguem para Prevenção de Execução Comportamental (BEP) na política do sensor e definam BEP e Variant Payload Prevention como Prevent. Eles são sugeridos para lidar com arquivos originários de fontes externas, como e-mails e navegação na web com cuidado.
+Mais
17 cursos gratuitos sobre CyberSecurity da AWS que você pode fazer agora mesmo
Nova falha de análise de URL do Python pode permitir ataques de execução de comando
evilginx2 v3.1: estrutura de ataque MITM que permite ignorar a autenticação de 2 fatores