8月25日消息��,攻擊者逐漸棄用Cobalt Strike滲透測試套件,轉(zhuǎn)而使用不太知名的類似框架。開源跨平臺工具Sliver正取代Brute Ratel成為受攻擊者青睞的武器�����。
網(wǎng)站建設哪家好��,找成都創(chuàng)新互聯(lián)公司����!專注于網(wǎng)頁設計����、網(wǎng)站建設、微信開發(fā)��、小程序開發(fā)����、集團企業(yè)網(wǎng)站建設等服務項目���。為回饋新老客戶創(chuàng)新互聯(lián)還提供了江都免費建站歡迎大家使用!
在過去的幾年里���,Cobalt Strike被各類攻擊者濫用(包括勒索軟件操作)�,攻擊者利用它在被攻擊的網(wǎng)絡上投放 "信標"�,橫向移動到高價值系統(tǒng)。
但防守方已經(jīng)掌握檢測和阻止Cobalt Strike攻擊的方法����,攻擊者轉(zhuǎn)向嘗試其他可以逃避端點檢測和響應(EDR)和防病毒解決方案的工具。
微軟的一份報告指出��,從國家支持的團體到網(wǎng)絡犯罪團伙����,攻擊者越來越多地使用由BishopFox網(wǎng)絡安全公司的研究人員開發(fā)的,基于Go語言的Sliver安全測試工具�����。
微軟追蹤到一個采用Sliver的團體是DEV-0237���。該團伙也被稱為FIN12�����,與各種勒索軟件運營商有聯(lián)系�����。
該團伙曾通過各種惡意軟件(BazarLoader和TrickBot)分發(fā)各種勒索軟件運營商(Ryuk���、Conti�����、Hive、Conti和BlackCat)的勒索軟件有效載荷�。
FIN12團伙分發(fā)的各類勒索軟件有效載荷
根據(jù)英國政府通信總部(GCHQ)的一份報告,APT29(又名Cozy Bear�、The Dukes、Grizzly Steppe)也使用Sliver進行攻擊����。
微軟指出,Conti勒索團伙在最近的攻擊活動中部署了Sliver����,并使用Bumblebee(Coldtrain)惡意軟件加載程序代替BazarLoader����。
然而�����,使用Sliver的惡意活動可以通過分析工具包��、工作原理及其組件得出的狩獵查詢來檢測���。
微軟提供了一套戰(zhàn)術(shù)��、技術(shù)和程序(TTPs)���,防御者可以用來識別Sliver和其他新興的C2框架。
由于Sliver C2網(wǎng)絡支持多種協(xié)議(DNS�����、HTTP/TLS�、MTLS、TCP)��,并接受植入/操作連接,并可以托管文件來模擬合法的web服務器���,威脅獵人可以設置偵聽器來識別網(wǎng)絡上Sliver基礎設施的異常情況�。
“一些常見的工件是獨特的HTTP頭組合和JARM散列�����,后者是TLS服務器的主動指紋技術(shù)����。”微軟指出��。
微軟還分享了如何檢測使用官方的��、非定制的C2框架代碼庫生成的Sliver有效負載(shell代碼�����、可執(zhí)行文件��、共享庫/ dll和服務)的信息��。
檢測工程師可以創(chuàng)建加載器特定的檢測(例如Bumblebee)���,或者如果shellcode沒有被混淆��,則為嵌入在加載器中的shellcode有效負載創(chuàng)建規(guī)則�����。
對于沒有太多上下文的Sliver惡意軟件載荷��,微軟建議在它們加載到內(nèi)存時提取配置����,因為框架必須對它們進行反混淆和解密才能使用它們����。
Sliver加載到內(nèi)存時提取配置
掃描存儲器可以幫助研究人員提取出諸如配置數(shù)據(jù)等細節(jié)。
威脅獵手還可以查找進程注入命令����,默認的Sliver代碼中常見的有:
- Migrate(命令)——遷移到遠程進程
- Spawndll(命令)——在遠程進程中加載并運行一個反射DLL
- Sideload(命令)——在遠程進程中加載并運行共享對象(共享庫/DLL)
- msf-inject(命令)——將Metasploit Framework負載注入進程
- execute-assembly (命令)——在子進程中加載并運行.NET程序集
- Getsystem(命令)——以NT AUTHORITY/SYSTEM用戶的身份生成一個新的Sliver會話
微軟指出,該工具包還依賴于擴展名和別名(Beacon Object Files (BFOs)��、 . net應用程序和其他第三方工具)來進行命令注入���。
該框架還使用PsExec來運行允許橫向移動的命令�����。
為了讓企業(yè)更容易識別其環(huán)境中的Sliver活動�����,微軟已經(jīng)為上述命令創(chuàng)建了一組可以在Microsoft 365 Defender門戶中運行的狩獵查詢���。
微軟強調(diào)�,提供的檢測規(guī)則集和查找指導是針對目前公開的Sliver代碼庫的�����?����;谧凅w開發(fā)的Sliver可能會影查詢結(jié)果����。
參考鏈接:https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/
文章題目:Sliver取代CobaltStrike成黑客滲透工具“新寵”
路徑分享:
http://uogjgqi.cn/article/cdgeidj.html
