8月25日消息,攻击者逐渐放弃CobaltStrike渗透测试套件,转而使用鲜为人知的同类框架。开源跨平台工具Sliver正在取代BruteRatel,成为攻击者的首选武器。在过去的几年中,CobaltStrike被各种攻击者(包括勒索软件操作)滥用,他们使用它在受感染的网络上放置“信标”以横向移动到高价值系统。但随着防御者学会了如何检测和阻止CobaltStrike攻击,攻击者正在转向其他可以逃避端点检测和响应(EDR)和防病毒解决方案的工具。根据微软的一份报告,从国家支持的团体到网络犯罪团伙的攻击者越来越多地使用由BishopFox网络安全公司的研究人员开发的基于Go的Sliver安全测试工具。微软跟踪采用Sliver的一组是DEV-0237。该团伙也称为FIN12,与各种勒索软件运营商有联系。该团伙一直在通过各种恶意软件(BazarLoader和TrickBot)分发来自各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效负载。FIN12团伙分发的各种勒索软件负载根据英国政府通信总部(GCHQ)的一份报告,APT29(又名CozyBear、TheDukes、GrizzlySteppe)也使用Sliver进行攻击。微软指出,Conti勒索团伙在最近的活动中部署了Sliver,并使用Bumblebee(Coldtrain)恶意软件加载程序而不是BazarLoader。然而,使用Sliver的恶意活动可以通过搜索从分析工具包、它的工作原理及其组件派生的查询来检测。Microsoft提供了一组策略、技术和程序(TTP),防御者可以使用它们来识别Sliver和其他新兴的C2框架。由于SliverC2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP),接受植入/操作连接,并且可以托管文件来冒充合法的Web服务器,因此威胁猎手可以设置侦听器来识别Sliver基础设施中的异常。“一些常见的工件是HTTP标头和JARM哈希的独特组合,它们是TLS服务器的主动指纹识别技术,”微软指出。微软还分享了有关如何检测使用官方非自定义C2框架代码库生成的Sliver有效负载(shellcode、可执行文件、共享库/dll和服务)的信息。检测工程师可以创建特定于加载程序的检测(例如Bumblebee),或者,如果shellcode未被混淆,则可以为加载程序中嵌入的shellcode有效负载创建规则。对于没有太多上下文的Sliver恶意软件有效载荷,Microsoft建议在将它们加载到内存中时提取配置,因为框架必须对它们进行反混淆和解密才能使用它们。Sliver加载到内存时提取配置扫描内存可以帮助研究人员提取配置数据等细节。威胁猎手还可以寻找进程注入命令,默认的Sliver代码中常见的有:在远程进程中运行共享对象(共享库/DLL)——以NTAUTHORITY/SYSTEM用户身份生成一个新的Sliver会话Microsoft指出该工具包还依赖于扩展和别名(Beacon对象文件(BFO)、.net应用程序和其他第三方工具)用于命令注入。该框架还使用PsExec来运行允许横向移动的命令。为了让企业更容易识别其环境中的Sliver活动,微软为上述命令创建了一组搜索查询,可以在Microsoft365Defender门户中运行。微软强调,所提供的检测规则集和查找指南是针对当前公开的Sliver代码库的。基于变体开发的Sliver可能会影响查询结果。参考链接:https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/
