威脅者正在拋棄Cobalt Strike滲透測(cè)試套件，而選擇不太知名的類似的框架。在Brute Ratel之后，一個(gè)名為Sliver的開(kāi)源的、跨平臺(tái)的工具包成為了一個(gè)很有吸引力的替代方案。

然而，使用Sliver的惡意攻擊活動(dòng)可以通過(guò)分析該工具包、了解其工作方式及分析其組件來(lái)對(duì)攻擊流量進(jìn)行很好的檢測(cè)。

從Cobalt Strike遷移到另一個(gè)工具

在過(guò)去的幾年里，Cobalt Strike作為各種威脅者（包括勒索軟件攻擊）的攻擊工具，通過(guò)在被破壞的網(wǎng)絡(luò)上投放 "信標(biāo)"，并且允許攻擊者橫向移動(dòng)到具有高價(jià)值的系統(tǒng)內(nèi)，該工具已經(jīng)越來(lái)越受歡迎。

由于防御者已經(jīng)學(xué)會(huì)了檢測(cè)和阻止使用這種工具包的網(wǎng)絡(luò)攻擊，黑客們正在嘗試其他的可以逃避端點(diǎn)檢測(cè)和響應(yīng)（EDR）以及防病毒解決方案的攻擊。

面對(duì)用戶做的針對(duì)Cobalt Strike的強(qiáng)大的防御措施，威脅者目前已經(jīng)找到了替代方案。Palo Alto Networks觀察到他們轉(zhuǎn)而使用了Brute Ratel，這是一種對(duì)抗性攻擊模擬工具，其可以很好的躲避安全產(chǎn)品。

微軟在一份報(bào)告中指出，從國(guó)家支持的團(tuán)體再到網(wǎng)絡(luò)犯罪團(tuán)伙，黑客在攻擊中越來(lái)越多地使用了由BishopFox網(wǎng)絡(luò)安全公司研究人員開(kāi)發(fā)的Sliver安全測(cè)試工具。

微軟觀察到Sliver指揮和控制（C2）框架現(xiàn)在已經(jīng)被民族國(guó)家威脅攻擊者、直接使用勒索軟件的網(wǎng)絡(luò)犯罪團(tuán)伙以及其他威脅行為者采用并整合到了入侵活動(dòng)中，這樣可以很好的逃避安全軟件的檢測(cè)。

其中一個(gè)采用Sliver的黑客團(tuán)體被微軟追蹤為DEV-0237。該團(tuán)伙也被稱為FIN12，其與各種勒索軟件運(yùn)營(yíng)商有密切聯(lián)系。

該團(tuán)伙過(guò)去曾通過(guò)各種惡意軟件（包括BazarLoader和TrickBot）分發(fā)各種勒索軟件運(yùn)營(yíng)商（Ryuk、Conti、Hive、Conti和BlackCat）的勒索軟件有效載荷。

根據(jù)英國(guó)政府通信總部（GCHQ）的一份報(bào)告，俄羅斯的有國(guó)家背景的攻擊者，特別是APT29（又名Cozy Bear、The Dukes、Grizzly Steppe）也曾經(jīng)使用Sliver來(lái)維持對(duì)被攻擊環(huán)境的訪問(wèn)權(quán)限。

微軟指出，Sliver目前已被部署在了最近的攻擊中，它使用了Bumblebee（Coldtrain）惡意軟件加載器，并且它也作為了Conti集團(tuán)的BazarLoader軟件的替代品。

基于Sliver的攻擊活動(dòng)

盡管這是一種新的攻擊威脅，但還是會(huì)有一些方法可以檢測(cè)由Sliver框架以及更隱蔽的威脅引起的惡意活動(dòng)。

微軟提供了一套戰(zhàn)術(shù)、技術(shù)和程序（TTPs），防御者可以用來(lái)識(shí)別Sliver和其他新興的C2框架。

由于Sliver C2網(wǎng)絡(luò)支持多種協(xié)議（DNS、HTTP/TLS、MTLS、TCP）并接受植入者與操作者的連接，而且可以托管文件來(lái)模仿合法的網(wǎng)絡(luò)服務(wù)器，威脅獵手可以設(shè)置監(jiān)聽(tīng)器來(lái)識(shí)別網(wǎng)絡(luò)上Sliver基礎(chǔ)設(shè)施的異常情況。

RiskIQ的Sliver和Bumblebee具有明顯的流量特征，其最常見(jiàn)的是一些獨(dú)特的HTTP頭組合和JARM散列，其實(shí)后者則是TLS服務(wù)器使用的主動(dòng)指紋技術(shù)。

微軟還分享了關(guān)于如何檢測(cè)Sliver有效載荷（shellcode、可執(zhí)行文件、共享庫(kù)/DLLs和服務(wù)）的相關(guān)信息，這些有效載荷是使用C2框架的官方、非定制的代碼庫(kù)生成的。

檢測(cè)工程師可以創(chuàng)建針對(duì)加載器的檢測(cè)[如Bumblebee]，或者，如果shellcode沒(méi)有被混淆，則可以為嵌入加載器的shellcode有效載荷制定規(guī)則。

對(duì)于沒(méi)有太多上下文環(huán)境的Sliver惡意軟件有效載荷，微軟建議在它們被加載到內(nèi)存時(shí)提取配置，因?yàn)榭蚣鼙仨殞?duì)它們進(jìn)行去混淆和解密才能使用它們。

掃描內(nèi)存可以使研究人員提取配置數(shù)據(jù)等細(xì)節(jié)。

威脅獵手也可以尋找用于進(jìn)程注入的命令，默認(rèn)的Sliver代碼在一般的情況下實(shí)現(xiàn)了這一點(diǎn)。其中用于此的命令有

· migrate（命令）--遷移到一個(gè)遠(yuǎn)程進(jìn)程中

· spawndll (command) - 在遠(yuǎn)程進(jìn)程中加載并運(yùn)行一個(gè)反射型DLL

· sideload (命令) - 在遠(yuǎn)程進(jìn)程中加載和運(yùn)行一個(gè)共享對(duì)象（共享庫(kù)/DLL）

· msf-inject (命令) - 將Metasploit框架的有效載荷注入到一個(gè)進(jìn)程中

· execute-assembly（命令） - 在一個(gè)子進(jìn)程中加載和運(yùn)行一個(gè).NET程序集

· getsystem（命令）--以NT AUTHORITY/SYSTEM用戶的身份生成一個(gè)新的Sliver會(huì)話。

微軟指出，該工具包還需要依賴擴(kuò)展和別名（Beacon Object Files (BFOs), .NET應(yīng)用程序和其他第三方工具）進(jìn)行命令注入。

該框架還使用了PsExect來(lái)運(yùn)行允許橫向移動(dòng)的命令。

為了使受Defender保護(hù)的企業(yè)更容易識(shí)別其環(huán)境中的Sliver的攻擊活動(dòng)，微軟為上述命令創(chuàng)建了一套可以在Microsoft 365 Defender門戶中運(yùn)行的防御策略。

微軟強(qiáng)調(diào)，軟件所提供的檢測(cè)規(guī)則集是針對(duì)目前已經(jīng)公開(kāi)的Sliver代碼庫(kù)的。使用定制的變體可能會(huì)影響基于微軟規(guī)則庫(kù)的檢測(cè)。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/如若轉(zhuǎn)載，請(qǐng)注明原文地址。