Инструмент для Red Team становится популярным среди киберпреступников

Инструмент для Red Team становится популярным среди киберпреступников

Бесплатная альтернатива Cobalt Strike в руках хакеров может стать смертельным оружием для компаний.

image

Sliver , кроссплатформенный инструмент с открытым исходным кодом для красной команды, предоставляет все основные возможности для моделирования противника. Некоторые из них включают:

  • динамическую генерацию кода;
  • обфускацию во время компиляции;
  • многопользовательский режим;
  • поэтапную и нестадийную полезную нагрузку;
  • интеграцию с центром сертификации Let's Encrypt.

Sliver предлагает множество функций, среди них:

  • безопасный сервер управления и контроля (C&C) через протоколы mTLS, WireGuard, HTTP(S) и DNS;
  • миграцию и внедрение процессов Windows;
  • манипулирование пользовательскими токенами;
  • диспетчер пакетов расширений (арсенал), который позволяет легко устанавливать различные сторонние инструменты, в том числе Ghostpack (Rubeus, Seatbelt, SharpUp, Certify и другие).

Злоумышленники, использующие Sliver

Исследовательские группы по всему миру наблюдали за несколькими группами угроз, активно использующими Sliver.

  • В июне 2022 года в ходе своей кампании AvosLocker использовала несколько различных инструментов, в том числе Cobalt Strike, Sliver и несколько коммерческих сетевых сканеров;
  • В том же месяце группа DriftingCloud распространяла 3 семейства вредоносных программ с открытым исходным кодом – PupyRAT , Pantegana и Sliver;
  • В октябре 2021 года TA551 (Shathak), развернула Sliver сразу после получения первоначального доступа для большей гибкости;
  • В мае 2021 года группировка APT29 (SVR) использовала Sliver для сохранения постоянства в скомпрометированной сети;
  • Также Sliver разворачивается с помощью загрузчика Bumblebee, который разработала Conti в качестве замены BazarLoader .

Идентификация и смягчение последствий

Платформа создает уникальные сетевые и системные подписи, что позволяет успешно определить цифровые отпечатки C&C-сервера. Чтобы защититься от атак с использованием Sliver, пользователям рекомендуется с осторожностью обращаться с файлами, происходящими из внешних источников, таких как электронная почта и сайты.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!