威胁者正在抛弃Cobalt Strike渗透测试套件,而选择不太知名的类似的框架。在Brute Ratel之后,一个名为Sliver的开源的、跨平台的工具包成为了一个很有吸引力的替代方案。
然而,使用Sliver的恶意攻击活动可以通过分析该工具包、了解其工作方式及分析其组件来对攻击流量进行很好的检测。
从Cobalt Strike迁移到另一个工具
在过去的几年里,Cobalt Strike作为各种威胁者(包括勒索软件攻击)的攻击工具,通过在被破坏的网络上投放 "信标",并且允许攻击者横向移动到具有高价值的系统内,该工具已经越来越受欢迎。
由于防御者已经学会了检测和阻止使用这种工具包的网络攻击,黑客们正在尝试其他的可以逃避端点检测和响应(EDR)以及防病毒解决方案的攻击。
面对用户做的针对Cobalt Strike的强大的防御措施,威胁者目前已经找到了替代方案。Palo Alto Networks观察到他们转而使用了Brute Ratel,这是一种对抗性攻击模拟工具,其可以很好的躲避安全产品。
微软在一份报告中指出,从国家支持的团体再到网络犯罪团伙,黑客在攻击中越来越多地使用了由BishopFox网络安全公司研究人员开发的Sliver安全测试工具。
微软观察到Sliver指挥和控制(C2)框架现在已经被民族国家威胁攻击者、直接使用勒索软件的网络犯罪团伙以及其他威胁行为者采用并整合到了入侵活动中,这样可以很好的逃避安全软件的检测。
其中一个采用Sliver的黑客团体被微软追踪为DEV-0237。该团伙也被称为FIN12,其与各种勒索软件运营商有密切联系。
该团伙过去曾通过各种恶意软件(包括BazarLoader和TrickBot)分发各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效载荷。
根据英国政府通信总部(GCHQ)的一份报告,俄罗斯的有国家背景的攻击者,特别是APT29(又名Cozy Bear、The Dukes、Grizzly Steppe)也曾经使用Sliver来维持对被攻击环境的访问权限。
微软指出,Sliver目前已被部署在了最近的攻击中,它使用了Bumblebee(Coldtrain)恶意软件加载器,并且它也作为了Conti集团的BazarLoader软件的替代品。
基于Sliver的攻击活动
尽管这是一种新的攻击威胁,但还是会有一些方法可以检测由Sliver框架以及更隐蔽的威胁引起的恶意活动。
微软提供了一套战术、技术和程序(TTPs),防御者可以用来识别Sliver和其他新兴的C2框架。
由于Sliver C2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受植入者与操作者的连接,而且可以托管文件来模仿合法的网络服务器,威胁猎手可以设置监听器来识别网络上Sliver基础设施的异常情况。
RiskIQ的Sliver和Bumblebee具有明显的流量特征,其最常见的是一些独特的HTTP头组合和JARM散列,其实后者则是TLS服务器使用的主动指纹技术。
微软还分享了关于如何检测Sliver有效载荷(shellcode、可执行文件、共享库/DLLs和服务)的相关信息,这些有效载荷是使用C2框架的官方、非定制的代码库生成的。
检测工程师可以创建针对加载器的检测[如Bumblebee],或者,如果shellcode没有被混淆,则可以为嵌入加载器的shellcode有效载荷制定规则。
对于没有太多上下文环境的Sliver恶意软件有效载荷,微软建议在它们被加载到内存时提取配置,因为框架必须对它们进行去混淆和解密才能使用它们。
扫描内存可以使研究人员提取配置数据等细节。
威胁猎手也可以寻找用于进程注入的命令,默认的Sliver代码在一般的情况下实现了这一点。其中用于此的命令有
· migrate(命令)--迁移到一个远程进程中
· spawndll (command) - 在远程进程中加载并运行一个反射型DLL
· sideload (命令) - 在远程进程中加载和运行一个共享对象(共享库/DLL)
· msf-inject (命令) - 将Metasploit框架的有效载荷注入到一个进程中
· execute-assembly(命令) - 在一个子进程中加载和运行一个.NET程序集
· getsystem(命令)--以NT AUTHORITY/SYSTEM用户的身份生成一个新的Sliver会话。
微软指出,该工具包还需要依赖扩展和别名(Beacon Object Files (BFOs), .NET应用程序和其他第三方工具)进行命令注入。
该框架还使用了PsExect来运行允许横向移动的命令。
为了使受Defender保护的企业更容易识别其环境中的Sliver的攻击活动,微软为上述命令创建了一套可以在Microsoft 365 Defender门户中运行的防御策略。
微软强调,软件所提供的检测规则集是针对目前已经公开的Sliver代码库的。使用定制的变体可能会影响基于微软规则库的检测。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
