威胁参与者正在放弃CobaltStrike渗透测试套件,转而使用鲜为人知的类似框架。在BruteRatel之后,一个名为Sliver的开源跨平台工具包成为一个有吸引力的选择。但是,通过分析工具包、了解其工作原理并分析其组件,可以在攻击流量中很好地检测到使用Sliver的恶意活动。从CobaltStrike迁移到另一个工具在过去几年中,CobaltStrike已被包括勒索软件攻击在内的各种威胁行为者使用,通过在受感染的网络上放置“信标”并允许攻击者横向进入高价值系统,该工具已越来越受欢迎。随着防御者学会使用此类工具包检测和阻止网络攻击,黑客正在试验其他可以逃避端点检测和响应(EDR)和防病毒解决方案的攻击。面对用户对CobaltStrike的强大防御,威胁行为者现在找到了替代方案。PaloAltoNetworks观察到他们转向了BruteRatel,这是一种对抗性攻击模拟工具,可以很好地规避安全产品。微软在一份报告中表示,从国家资助的组织到网络犯罪团伙,越来越多的黑客在攻击中使用由BishopFox网络安全公司的研究人员开发的Sliver安全测试工具。微软观察到,Sliver命令和控制(C2)框架现已被民族国家威胁行为者、直接使用勒索软件的网络犯罪团伙和其他威胁行为者采用并集成到入侵中以逃避安全软件。检测。使用Sliver的黑客组织之一被微软追踪为DEV-0237。该团伙也称为FIN12,与各种勒索软件运营商关系密切。该团伙过去曾通过各种恶意软件(包括BazarLoader和TrickBot)分发来自各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效负载。根据英国政府通信总部(GCHQ)的一份报告,俄罗斯国家支持的攻击者,尤其是APT29(又名CozyBear、TheDukes、GrizzlySteppe)也使用Sliver来维持对受感染环境的访问。.微软指出,在最近的攻击中部署了Sliver,使用Bumblebee(Coldtrain)恶意软件加载器,它还可以替代ContiGroup的BazarLoader软件。基于Sliver的攻击尽管这是一种新的攻击威胁,但仍有一些方法可以检测由Sliver框架引起的恶意活动以及更隐蔽的威胁。Microsoft提供了一组策略、技术和程序(TTP),防御者可以使用它们来识别Sliver和其他新兴的C2框架。由于SliverC2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受来自植入者和操作者的连接,并且可以托管文件以模仿合法的Web服务器,因此威胁猎手可以设置侦听器来识别Sliver中的网络异常基础设施。RiskIQ的Sliver和Bumblebee具有明显的流量特征,其中最常见的是一些独特的HTTP标头组合和JARM哈希,它们实际上是TLS服务器使用的主动指纹识别技术。微软还分享了有关如何检测使用C2框架的官方非自定义代码库生成的Sliver有效负载(shellcode、可执行文件、共享库/DLL和服务)的信息。检测工程师可以创建针对加载程序[如Bumblebee]的检测,或者,如果shellcode未被混淆,则为嵌入加载程序的shellcode有效负载创建规则。对于没有太多上下文的Sliver恶意软件有效载荷,Microsoft建议在将它们加载到内存中时提取配置,因为框架必须对它们进行反混淆和解密才能使用它们。扫描内存使研究人员能够提取配置数据等详细信息。威胁猎手还可以寻找进程注入的命令,默认的Sliver代码通常可以实现这一点。用于此的命令是migrate(命令)-迁移到远程进程spawndll(命令)-在远程进程中加载??并运行反射DLLsideload(命令)-在远程进程中加载??并运行共享对象(共享库/DLL)msf-inject(command)-将MetasploitFrameworkpayload注入进程execute-assembly(command)-在子进程中加载??并运行.NETassembly用户。微软指出,该工具包还依赖扩展和别名(Beacon对象文件(BFO)、.NET应用程序和其他第三方工具)进行命令注入。该框架还使用PsExect来运行允许横向移动的命令。为了让受Defender保护的组织更容易识别其环境中的Sliver活动,微软为上述命令创建了一套防御策略,可以在Microsoft365Defender门户中运行。微软强调,该软件提供的检测规则集是针对目前公开的Sliver代码库。使用自定义变体可能会影响基于Microsoft规则库的检测。本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/如有转载请注明出处。
