最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

更多黑客采用Sliver工具包作为Cobalt Strike的替代品

网络安全 快米云 来源:快米云 394浏览

威胁参与者正在抛弃 Cobalt Strike 渗透测试套件,转而使用鲜为人知的类似框架。在 Brute Ratel 之后,名为 Sliver 的开源跨平台工具包正在成为一个有吸引力的替代品。

但是,使用 Sliver 的恶意活动可以通过分析工具包、其工作原理及其组件得出的狩猎查询来检测。

从 Cobalt Strike 迁移
在过去的几年里,Cobalt Strike 作为一种攻击工具越来越受欢迎,包括勒索软件操作在内的各种威胁行为者可以投放到受感染的网络“信标”,从而允许横向移动到高价值系统。

由于防御者已经学会检测和阻止依赖此工具包的攻击,黑客正在尝试其他可以逃避端点检测和响应 (EDR) 和防病毒解决方案的选项。

面对针对 Cobalt Strike 的更强大防御,威胁参与者已经找到了替代方案。Palo Alto Networks 观察到他们转而使用 Brute Ratel,这是一种旨在逃避安全产品的对抗性攻击模拟工具。

微软的一份报告指出,从国家资助的团体到网络犯罪团伙,黑客越来越多地使用 BishopFox 网络安全公司研究人员开发的基于 Go 的Sliver安全测试工具进行攻击。

“Microsoft 观察到 Sliver 命令和控制 (C2) 框架现在被民族国家威胁行为者、直接支持勒索软件和勒索的网络犯罪组织以及其他威胁行为者采用并集成到入侵活动中以逃避检测” – Microsoft

采用 Sliver 的一组被 Microsoft 跟踪为 DEV-0237。该团伙也被称为 FIN12,与各种勒索软件运营商有关联。

该团伙过去通过各种恶意软件(包括 BazarLoader 和 TrickBot)分发了来自各种勒索软件运营商(Ryuk、Conti、Hive、Conti 和 BlackCat)的勒索软件有效负载。

FIN12 团伙部署各种勒索软件有效载荷
来源:微软
根据英国政府通信总部 (GCHQ) 的一份报告,俄罗斯国家支持的参与者,特别是 APT29(又名 Cozy Bear、The Dukes、Grizzly Steppe)也使用 Sliver 来维持对受损环境的访问。

微软指出,Sliver 已被部署在使用 Bumblebee (Coldtrain) 恶意软件加载程序的最近攻击中,该加载程序与 Conti 集团相关,作为 BazarLoader 的替代品。

寻找基于 Sliver 的活动
尽管是一种新颖的威胁,但仍有一些方法可以检测由 Sliver 框架以及更隐蔽的威胁引起的恶意活动。

Microsoft 提供了一套战术、技术和程序 (TTP),防御者可以使用这些策略、技术和程序 (TTP) 来识别 Sliver 和其他新兴的 C2 框架。

由于 Sliver C2 网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受植入/运营商连接,并且可以托管文件以模仿合法的 Web 服务器,因此威胁猎手可以设置侦听器来识别网络上的异常银基础设施。

“一些常见的工件是独特的 HTTP 标头组合和JARM 哈希,后者是 TLS 服务器的主动指纹识别技术 [ RiskIQ的Sliver和Bumblebee方法]” – 微软

Microsoft 还分享了有关如何检测使用 C2 框架的官方非定制代码库生成的 Sliver 有效负载(shellcode、可执行文件、共享库/DLL 和服务)的信息。

检测工程师可以创建特定于加载程序的检测[例如 Bumblebee],或者,如果 shellcode 没有被混淆,则可以为嵌入在加载程序中的 shellcode 有效负载创建规则。

对于没有太多上下文的 Sliver 恶意软件有效负载,Microsoft 建议在将配置加载到内存时提取配置,因为框架必须对它们进行去混淆处理和解密才能使用它们。

扫描内存可以使研究人员提取配置数据等详细信息:

从 Sliver 测试植入源中提取配置
:Microsoft
威胁猎手还可以寻找用于进程注入的命令,默认的 Sliver 代码在不偏离常见实现的情况下实现了这一点。用于此的命令包括:

migrate (command) – 迁移到远程进程
spawndll (command) – 在远程进程中加载​​和运行反射 DLL
sideload(命令)——在远程进程中加载​​并运行共享对象(共享库/DLL)
msf-inject(命令)– 将 Metasploit 框架有效负载注入进程
执行程序集(命令)– 在子进程中加载​​和运行 .NET 程序集
getsystem (command) – 作为 NT AUTHORITY\SYSTEM 用户生成一个新的 Sliver 会话
微软指出,该工具包还依赖于扩展和别名(信标对象文件 (BFO)、.NET 应用程序和其他第三方工具)进行命令注入。

该框架还使用 PsExect 来运行允许横向移动的命令。

为了让受 Defender 保护的企业更容易识别其环境中的 Sliver 活动,Microsoft 为上述命令创建了一组可以在 Microsoft 365 Defender 门户中运行的搜寻查询。

Microsoft 强调,提供的检测规则集和搜寻指南适用于当前公开的 Sliver 代码库。使用自定义变体可能会影响基于 Microsoft 查询的检测。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 更多黑客采用Sliver工具包作为Cobalt Strike的替代品