Sliver取代Cobalt Strike成黑客滲透工具“新寵”

8月25日消息，攻擊者逐漸棄用Cobalt Strike滲透測試套件，轉而使用不太知名的類似框架。開源跨平臺工具Sliver正取代Brute Ratel成為受攻擊者青睞的武器。

在過去的幾年里，Cobalt Strike被各類攻擊者濫用（包括勒索軟件操作），攻擊者利用它在被攻擊的網絡上投放 "信標"，橫向移動到高價值系統。

但防守方已經掌握檢測和阻止Cobalt Strike攻擊的方法，攻擊者轉向嘗試其他可以逃避端點檢測和響應（EDR）和防病毒解決方案的工具。

微軟的一份報告指出，從國家支持的團體到網絡犯罪團伙，攻擊者越來越多地使用由BishopFox網絡安全公司的研究人員開發的，基于Go語言的Sliver安全測試工具。

微軟追蹤到一個采用Sliver的團體是DEV-0237。該團伙也被稱為FIN12，與各種勒索軟件運營商有聯系。

該團伙曾通過各種惡意軟件（BazarLoader和TrickBot）分發各種勒索軟件運營商（Ryuk、Conti、Hive、Conti和BlackCat）的勒索軟件有效載荷。

【FIN12團伙分發的各類勒索軟件有效載荷】

根據英國政府通信總部（GCHQ）的一份報告，APT29（又名Cozy Bear、The Dukes、Grizzly Steppe）也使用Sliver進行攻擊。

微軟指出，Conti勒索團伙在最近的攻擊活動中部署了Sliver，并使用Bumblebee（Coldtrain）惡意軟件加載程序代替BazarLoader。

然而，使用Sliver的惡意活動可以通過分析工具包、工作原理及其組件得出的狩獵查詢來檢測。

微軟提供了一套戰術、技術和程序（TTPs），防御者可以用來識別Sliver和其他新興的C2框架。

由于Sliver C2網絡支持多種協議(DNS、HTTP/TLS、MTLS、TCP)，并接受植入/操作連接，并可以托管文件來模擬合法的web服務器，威脅獵人可以設置偵聽器來識別網絡上Sliver基礎設施的異常情況。

“一些常見的工件是獨特的HTTP頭組合和JARM散列，后者是TLS服務器的主動指紋技術。”微軟指出。

微軟還分享了如何檢測使用官方的、非定制的C2框架代碼庫生成的Sliver有效負載（shell代碼、可執行文件、共享庫/ dll和服務）的信息。

檢測工程師可以創建加載器特定的檢測（例如Bumblebee），或者如果shellcode沒有被混淆，則為嵌入在加載器中的shellcode有效負載創建規則。

對于沒有太多上下文的Sliver惡意軟件載荷，微軟建議在它們加載到內存時提取配置，因為框架必須對它們進行反混淆和解密才能使用它們。

【Sliver加載到內存時提取配置】

掃描存儲器可以幫助研究人員提取出諸如配置數據等細節。

威脅獵手還可以查找進程注入命令，默認的Sliver代碼中常見的有：

Migrate（命令）——遷移到遠程進程

Spawndll（命令）——在遠程進程中加載并運行一個反射DLL

Sideload（命令）——在遠程進程中加載并運行共享對象（共享庫/DLL）

msf-inject（命令）——將Metasploit Framework負載注入進程

execute-assembly （命令）——在子進程中加載并運行.NET程序集

Getsystem（命令）——以NT AUTHORITY/SYSTEM用戶的身份生成一個新的Sliver會話

微軟指出，該工具包還依賴于擴展名和別名（Beacon Object Files (BFOs)、 . net應用程序和其他第三方工具）來進行命令注入。

該框架還使用PsExec來運行允許橫向移動的命令。

為了讓企業更容易識別其環境中的Sliver活動，微軟已經為上述命令創建了一組可以在Microsoft 365 Defender門戶中運行的狩獵查詢。

微軟強調，提供的檢測規則集和查找指導是針對目前公開的Sliver代碼庫的，基于變體開發的Sliver可能會影查詢結果。