8月25日消息，攻擊者逐漸棄用Cobalt Strike滲透測試套件，轉(zhuǎn)而使用不太知名的類似框架。開源跨平臺工具Sliver正取代Brute Ratel成為受攻擊者青睞的武器。

在過去的幾年里，Cobalt Strike被各類攻擊者濫用（包括勒索軟件操作），攻擊者利用它在被攻擊的網(wǎng)絡(luò)上投放 "信標(biāo)"，橫向移動到高價值系統(tǒng)。

但防守方已經(jīng)掌握檢測和阻止Cobalt Strike攻擊的方法，攻擊者轉(zhuǎn)向嘗試其他可以逃避端點檢測和響應(yīng)（EDR）和防病毒解決方案的工具。

微軟的一份報告指出，從國家支持的團(tuán)體到網(wǎng)絡(luò)犯罪團(tuán)伙，攻擊者越來越多地使用由BishopFox網(wǎng)絡(luò)安全公司的研究人員開發(fā)的，基于Go語言的Sliver安全測試工具。

微軟追蹤到一個采用Sliver的團(tuán)體是DEV-0237。該團(tuán)伙也被稱為FIN12，與各種勒索軟件運營商有聯(lián)系。

該團(tuán)伙曾通過各種惡意軟件（BazarLoader和TrickBot）分發(fā)各種勒索軟件運營商（Ryuk、Conti、Hive、Conti和BlackCat）的勒索軟件有效載荷。

FIN12團(tuán)伙分發(fā)的各類勒索軟件有效載荷

根據(jù)英國政府通信總部（GCHQ）的一份報告，APT29（又名Cozy Bear、The Dukes、Grizzly Steppe）也使用Sliver進(jìn)行攻擊。

微軟指出，Conti勒索團(tuán)伙在最近的攻擊活動中部署了Sliver，并使用Bumblebee（Coldtrain）惡意軟件加載程序代替BazarLoader。

然而，使用Sliver的惡意活動可以通過分析工具包、工作原理及其組件得出的狩獵查詢來檢測。

微軟提供了一套戰(zhàn)術(shù)、技術(shù)和程序（TTPs），防御者可以用來識別Sliver和其他新興的C2框架。

由于Sliver C2網(wǎng)絡(luò)支持多種協(xié)議(DNS、HTTP/TLS、MTLS、TCP)，并接受植入/操作連接，并可以托管文件來模擬合法的web服務(wù)器，威脅獵人可以設(shè)置偵聽器來識別網(wǎng)絡(luò)上Sliver基礎(chǔ)設(shè)施的異常情況。

“一些常見的工件是獨特的HTTP頭組合和JARM散列，后者是TLS服務(wù)器的主動指紋技術(shù)?！蔽④浿赋?。

微軟還分享了如何檢測使用官方的、非定制的C2框架代碼庫生成的Sliver有效負(fù)載（shell代碼、可執(zhí)行文件、共享庫/ dll和服務(wù)）的信息。

檢測工程師可以創(chuàng)建加載器特定的檢測（例如Bumblebee），或者如果shellcode沒有被混淆，則為嵌入在加載器中的shellcode有效負(fù)載創(chuàng)建規(guī)則。

對于沒有太多上下文的Sliver惡意軟件載荷，微軟建議在它們加載到內(nèi)存時提取配置，因為框架必須對它們進(jìn)行反混淆和解密才能使用它們。

Sliver加載到內(nèi)存時提取配置

掃描存儲器可以幫助研究人員提取出諸如配置數(shù)據(jù)等細(xì)節(jié)。

威脅獵手還可以查找進(jìn)程注入命令，默認(rèn)的Sliver代碼中常見的有：

• Migrate（命令）——遷移到遠(yuǎn)程進(jìn)程
• Spawndll（命令）——在遠(yuǎn)程進(jìn)程中加載并運行一個反射DLL
• Sideload（命令）——在遠(yuǎn)程進(jìn)程中加載并運行共享對象（共享庫/DLL）
• msf-inject（命令）——將Metasploit Framework負(fù)載注入進(jìn)程
• execute-assembly （命令）——在子進(jìn)程中加載并運行.NET程序集
• Getsystem（命令）——以NT AUTHORITY/SYSTEM用戶的身份生成一個新的Sliver會話

微軟指出，該工具包還依賴于擴(kuò)展名和別名（Beacon Object Files (BFOs)、 . net應(yīng)用程序和其他第三方工具）來進(jìn)行命令注入。

該框架還使用PsExec來運行允許橫向移動的命令。

為了讓企業(yè)更容易識別其環(huán)境中的Sliver活動，微軟已經(jīng)為上述命令創(chuàng)建了一組可以在Microsoft 365 Defender門戶中運行的狩獵查詢。

微軟強(qiáng)調(diào)，提供的檢測規(guī)則集和查找指導(dǎo)是針對目前公開的Sliver代碼庫的?；谧凅w開發(fā)的Sliver可能會影查詢結(jié)果。

參考鏈接：https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/