Sliver Red Team Tool ganhando força entre os Red Team

O que começou como uma alternativa ao Cobalt Strike tornou-se uma estrutura C2 da moda para agentes de ameaças. O Sliver, originalmente uma emulação de adversário de plataforma cruzada de código aberto/estrutura de equipe vermelha, fornece todos os recursos essenciais para a simulação de adversários. Alguns deles incluem geração dinâmica de código, ofuscação em tempo de compilação, modo multijogador, payloads com e sem estágios e integração com o Let’s Encrypt.

Um pouco sobre Sliver

• Sliver oferece C2 seguro sobre mTLS, WireGuard, HTTP(S) e DNS, migração de processo do Windows, injeção de processo, manipulação de token de usuário, .NET na memória, execução de montagem, carregador na memória COFF/BOF e TCP e pipe nomeado pivôs.
• A estrutura contém um gerenciador de pacotes de extensão (arsenal) que permite fácil instalação (compilação automática) de várias ferramentas de terceiros, como BOFs e ferramentas .NET, incluindo Ghostpack (Rubeus, Seatbelt, SharpUp, Certify e mais).

Agentes de ameaças aproveitando o Sliver

Equipes de pesquisa em todo o mundo observaram vários grupos de ameaças usando ativamente o Sliver.

• A equipe GSOC da Cybereason relatou recentemente que o grupo Exotic Lily estava usando arquivos LNK para distribuir o malware BumbleBee loader.
• Em junho de 2022, em uma campanha AvosLocker de um mês , os invasores utilizaram várias ferramentas diferentes, incluindo Cobalt Strike, Sliver e vários scanners de rede comercial.
• No mesmo mês, um agente de ameaças chamado DriftingCloud foi encontrado distribuindo três famílias de malware de código aberto, incluindo PupyRAT, Pantegana e Sliver.
• Em outubro de 2021, TA551 , também conhecido como Shathak, implantou a estrutura diretamente após o vetor de infecção inicial para muito mais flexibilidade.
• Em maio de 2021, o grupo de hackers russo APT29, também conhecido como SVR , estava aproveitando essa estrutura para garantir a persistência em uma rede comprometida.

Identificação e mitigações

A estrutura cria uma rede exclusiva e assinaturas de sistema, o que torna eficiente a detecção e impressão digital do servidor de infraestrutura. Para detectar ataques Sliver C2, recomenda-se que os usuários naveguem para Prevenção de Execução Comportamental (BEP) na política do sensor e definam BEP e Variant Payload Prevention como Prevent. Eles são sugeridos para lidar com arquivos originários de fontes externas, como e-mails e navegação na web com cuidado.