网安 - 专业的网络安全产业、社区、知识平台

黑客采用Sliver工具箱作为Cobalt Strike的替代品

一颗小胡椒2023-07-06 16:29:10

威胁者正在抛弃Cobalt Strike渗透测试套件,而选择不太知名的类似的框架。在Brute Ratel之后,一个名为Sliver的开源的、跨平台的工具包成为了一个很有吸引力的替代方案。

然而,使用Sliver的恶意攻击活动可以通过分析该工具包、了解其工作方式及分析其组件来对攻击流量进行很好的检测。

从Cobalt Strike迁移到另一个工具

在过去的几年里,Cobalt Strike作为各种威胁者(包括勒索软件攻击)的攻击工具,通过在被破坏的网络上投放 "信标",并且允许攻击者横向移动到具有高价值的系统内,该工具已经越来越受欢迎。

由于防御者已经学会了检测和阻止使用这种工具包的网络攻击,黑客们正在尝试其他的可以逃避端点检测和响应(EDR)以及防病毒解决方案的攻击。

面对用户做的针对Cobalt Strike的强大的防御措施,威胁者目前已经找到了替代方案。Palo Alto Networks观察到他们转而使用了Brute Ratel,这是一种对抗性攻击模拟工具,其可以很好的躲避安全产品。

微软在一份报告中指出,从国家支持的团体再到网络犯罪团伙,黑客在攻击中越来越多地使用了由BishopFox网络安全公司研究人员开发的Sliver安全测试工具。

微软观察到Sliver指挥和控制(C2)框架现在已经被民族国家威胁攻击者、直接使用勒索软件的网络犯罪团伙以及其他威胁行为者采用并整合到了入侵活动中,这样可以很好的逃避安全软件的检测。

其中一个采用Sliver的黑客团体被微软追踪为DEV-0237。该团伙也被称为FIN12,其与各种勒索软件运营商有密切联系。

该团伙过去曾通过各种恶意软件(包括BazarLoader和TrickBot)分发各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效载荷。

根据英国政府通信总部(GCHQ)的一份报告,俄罗斯的有国家背景的攻击者,特别是APT29(又名Cozy Bear、The Dukes、Grizzly Steppe)也曾经使用Sliver来维持对被攻击环境的访问权限。

微软指出,Sliver目前已被部署在了最近的攻击中,它使用了Bumblebee(Coldtrain)恶意软件加载器,并且它也作为了Conti集团的BazarLoader软件的替代品。

基于Sliver的攻击活动

尽管这是一种新的攻击威胁,但还是会有一些方法可以检测由Sliver框架以及更隐蔽的威胁引起的恶意活动。

微软提供了一套战术、技术和程序(TTPs),防御者可以用来识别Sliver和其他新兴的C2框架。

由于Sliver C2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受植入者与操作者的连接,而且可以托管文件来模仿合法的网络服务器,威胁猎手可以设置监听器来识别网络上Sliver基础设施的异常情况。

RiskIQ的Sliver和Bumblebee具有明显的流量特征,其最常见的是一些独特的HTTP头组合和JARM散列,其实后者则是TLS服务器使用的主动指纹技术。

微软还分享了关于如何检测Sliver有效载荷(shellcode、可执行文件、共享库/DLLs和服务)的相关信息,这些有效载荷是使用C2框架的官方、非定制的代码库生成的。

检测工程师可以创建针对加载器的检测[如Bumblebee],或者,如果shellcode没有被混淆,则可以为嵌入加载器的shellcode有效载荷制定规则。

对于没有太多上下文环境的Sliver恶意软件有效载荷,微软建议在它们被加载到内存时提取配置,因为框架必须对它们进行去混淆和解密才能使用它们。

扫描内存可以使研究人员提取配置数据等细节。

威胁猎手也可以寻找用于进程注入的命令,默认的Sliver代码在一般的情况下实现了这一点。其中用于此的命令有

· migrate(命令)--迁移到一个远程进程中

· spawndll (command) - 在远程进程中加载并运行一个反射型DLL

· sideload (命令) - 在远程进程中加载和运行一个共享对象(共享库/DLL)

· msf-inject (命令) - 将Metasploit框架的有效载荷注入到一个进程中

· execute-assembly(命令) - 在一个子进程中加载和运行一个.NET程序集

· getsystem(命令)--以NT AUTHORITY/SYSTEM用户的身份生成一个新的Sliver会话。

微软指出,该工具包还需要依赖扩展和别名(Beacon Object Files (BFOs), .NET应用程序和其他第三方工具)进行命令注入。

该框架还使用了PsExect来运行允许横向移动的命令。

为了使受Defender保护的企业更容易识别其环境中的Sliver的攻击活动,微软为上述命令创建了一套可以在Microsoft 365 Defender门户中运行的防御策略。

微软强调,软件所提供的检测规则集是针对目前已经公开的Sliver代码库的。使用定制的变体可能会影响基于微软规则库的检测。

软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
勒索软件黑客采用 BYOVD 攻击手法,使用 AuKill 工具禁用 EDR 软件
2023-05-28 17:15:36
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
Citrix NetScaler 警报:勒索软件黑客利用关键漏洞
2023-08-30 11:11:32
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
全球勒索软件黑客攻击已将数千台计算机服务器作为目标
2023-02-10 13:58:43
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
WannaCry勒索软件背后的黑客从比特币钱包中提取143000美元
2022-09-01 18:00:00
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚考虑禁止向勒索软件黑客支付赎金
2022-11-16 09:52:40
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
意大利税务机构遭勒索软件黑客攻击 被黑走70个T数据
2022-07-27 17:10:44
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
新出现的勒索软件组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系
2021-07-29 10:11:08
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科新缆车服务的系统被黑客入侵感染勒索软件
2018-12-06 00:00:00
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
朝鲜黑客利用Maui攻击美国医疗组织长达一年之久
2022-07-11 07:10:37
医疗行业网络安全建设长期面临挑战
一颗小胡椒
暂无描述