Хакеры нашли альтернативу Cobalt Strike

Хакеры нашли альтернативу Cobalt Strike

Крупные и опытные группировки уже перешли на open-source инструмент Sliver.

Согласно отчету Microsoft, правительственные хакеры, кибепреступные группировки и другие субъекты угроз стали чаще использовать в атаках кроссплатформенный open-source инструмент тестирования безопасности Sliver на основе Go, разработанный ИБ-компанией BishopFox.

Вымогательская группировка DEV-0237 ( FIN12 ) уже перешла на Sliver, а также российская группа APT29 (Cozy Bear, The Dukes, Grizzly Steppe) использовала Sliver для поддержания доступа к скомпрометированным средам .

Также Sliver разворачивается с помощью загрузчика Bumblebee (Coldtrain), который разработала Conti в качестве замены BazarLoader.

Несмотря на то, что Sliver – это новая угроза, существуют методы обнаружения ее вредоносной активности. C&C-сервер Sliver поддерживает несколько протоколов (DNS, HTTP/TLS, MTLS, TCP) и подключение имплантатов, а также может размещать файлы, имитирующие законный веб-сервер. Поэтому ИБ-специалисты могут настроить прослушиватели для выявления инфраструктуры Sliver в сети.

Microsoft также поделилась информацией о том, как обнаруживать полезные нагрузки Sliver (шелл-код, исполняемые файлы, DLL-библиотеки и службы). Специалисты могут настроить систему обнаружения для конкретного загрузчика или, если шелл-код не запутан, правила для полезной нагрузки шелл-кода.

эSliver также использует объектные файлы Beacon (Beacon Object Files, BFO), NET-приложения и другие сторонние инструменты для внедрения команд. Фреймворк также использует PsExect для запуска команд, обеспечивающих боковое перемещение.

Чтобы организациям было проще идентифицировать активность Sliver в своей среде, Microsoft создала набор поисковых запросов для команд Sliver, которые можно запускать на портале Microsoft 365 Defender .

Наборы правил обнаружения и руководство по поиску предназначены для общедоступной кодовой базы Sliver.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться