Yıllar içinde rakipler tarafından Kobalt Strike kullanımını tespit etme yeteneklerini geliştiren kurumsal güvenlik ekipleri de “Sliver”a dikkat etmek isteyebilir. Rakiplerin saldırı zincirlerine giderek daha fazla entegre olmaya başladığı açık kaynaklı bir komuta ve kontrol (C2) çerçevesidir.
“Trendi yönlendirdiğini düşündüğümüz şey, saldırgan güvenlik topluluklarında Sliver hakkında artan bilgi ve Cobalt Strike’a yoğun odaklanma ile birleşiyor. [by defenders]” diyor Team Cymru’da araştırma lideri Josh Hopkins. “Savunanlar artık Cobalt Strike’ı tespit etme ve hafifletme konusunda giderek daha fazla başarıya sahipler. Dolayısıyla, Cobalt Strike’dan Sliver gibi çerçevelere geçiş beklenebilir” diyor.
Microsoft’tan güvenlik araştırmacıları bu hafta ulus devlet aktörlerini, fidye yazılımlarını ve gasp gruplarını ve Sliver’ı çeşitli kampanyalarda Kobalt Strike ile birlikte veya genellikle onun yerine geçmek için kullanan diğer tehdit aktörlerini gözlemleme konusunda uyardılar. Bunların arasında, Ryuk, Conti ve Hive fidye yazılımı aileleriyle bağlantılı, finansal olarak motive edilmiş bir tehdit aktörü olan DEV-0237 (diğer adıyla FIN12); Microsoft, insan tarafından işletilen fidye yazılımı saldırılarına karışan birkaç grup olduğunu söyledi.
Büyüyen Kullanım
Bu yılın başlarında, Team Cymru, Sliver’ın varlığını gözlemlediğini bildirdi. birden fazla sektördeki kuruluşları hedefleyen kampanyalarda kullanılırhükümet, araştırma, telekom ve yüksek öğrenim dahil. 3 Şubat ile 4 Mart arasındaki bir kampanya, Rusya’nın barındırdığı bir saldırı altyapısını içeriyordu, bir diğeri ise Pakistan ve Türkiye’deki devlet kurumlarını hedef aldı. Bu saldırıların çoğunda Team Cymru, Sliver’ın fidye yazılımı sağlamak için ilk enfeksiyon araç zincirinin bir parçası olarak kullanıldığını gözlemledi. Diğer durumlarda, tehdit istihbarat şirketi, Sliver’ın Log4j ve VMware Horizon güvenlik açıklarından potansiyel olarak yararlanmayı içeren fırsatçı saldırılarda kullanıldığını tespit etti.
BishopFox’tan araştırmacılar, Sliver’ı geliştirdi ve piyasaya sürdü. Cobalt Strike’a açık kaynak alternatifiÇerçeve, kırmızı ekiplere ve sızma test uzmanlarına ortamlarında yerleşik tehdit aktörlerinin davranışlarını taklit etmeleri için bir yol sağlamak üzere tasarlanmıştır. Ancak Cobalt Strike’da olduğu gibi, aynı özellikler onu çekici bir tehdit aktörü aracı haline getiriyor.
Düşmanlar İçin Cazip Bir Alternatif
Sliver, Go programlama dilinde (Golang) yazılmıştır ve bu nedenle Windows, macOS ve Linux dahil olmak üzere birden çok işletim sistemi ortamında kullanılabilir. Güvenlik ekipleri, Sliver’ı implant oluşturmak için şu şekilde kullanabilir: Shellcode, Yürütülebilir, Paylaşılan kitaplık/DLL ve Hizmet Olarakdedi Microsoft. Araştırmacılar Golang’ın, Go ikili dosyalarının tersine mühendisliği için mevcut olan nispeten sınırlı araçlar nedeniyle de düşmanlara yardımcı olduğunu ekledi.
Sliver, operatörlerin tam bir implantı alıp başlatmasına izin veren bir dizi özellikle birlikte daha küçük yükleri (veya aşamalayıcıları) da destekler.
Microsoft, “Stager’lar, birçok C2 çerçevesi tarafından ilk yükte (örneğin, bir kimlik avı e-postasında) bulunan kötü amaçlı kodu en aza indirmek için kullanılıyor” dedi. “Bu, dosya tabanlı algılamayı daha zor hale getirebilir.”
Lares Consulting’in rakip mühendisi Andy Gill, Sliver’ın ayrıca Cobalt Strike’dan çok daha fazla yerleşik modül sunduğunu söylüyor; Gill, bu yerleşik yeteneklerin tehdit aktörlerinin sistemlerden yararlanmasını ve erişimi kolaylaştırmak için araçlardan yararlanmasını kolaylaştırdığını söylüyor. Kobalt Strike, aksine, daha çok kendi yükünü/modülünü getir aracıdır.
“Sliver, saldırganlar için giriş bariyerini düşürür. [It] yük teslimi ve saldırıları savunmadan kaçmak için uyarlama yolları açısından daha fazla özelleştirme sunuyor” diye belirtiyor.
Ancak Team Cymru’dan Hopkins, tehdit aktörleri için şu anda en çekici faktörün, görece belirsizliği ve Sliver için tespitlerin oluşturulmasında – en azından şimdiye kadar – üstlenilen çalışmaların eksikliği olduğunu söylüyor. “Sliver, Cobalt Strike ile aynı özelliklere sahip, ancak üzerinde bu kadar büyük bir spot ışığı yok” diyor. Bu, bazı saldırganların şu anda yararlanmaya çalıştığı algılama kapsamında potansiyel bir boşluk yarattı.
Gill, son olarak, ücretsiz, açık kaynak olması ve GitHub’da erişilebilir olması gerçeğinin de Sliver’ı ticari olan ve bu nedenle tehdit aktörlerinin her yeni sürüm yayınlandığında lisans mekanizmasını kırmalarını gerektiren Cobalt Strike’a kıyasla çekici kıldığını söylüyor.
Kobalt Saldırısı Altın Standart Olarak Kalıyor – Ancak Saldırganların Başka Çerçeveleri Var
Aynı zamanda, araştırmacılar, Kobalt Strike’ın düşmanca kullanımını azaltmak için kuruluşların büyük bir hata olacağı konusunda uyarıyorlar.
Örneğin, bu yılın ilk çeyreğinde Team Cymru, saldırı kampanyalarında muhtemelen birinci aşama aracı olarak kullanılan 143 Sliver örneğini gözlemledi – buna karşılık potansiyel olarak kötü amaçlı amaçlar için kullanılan 4.455 Kobalt Strike örneği.
Hopkins, “Savunucuların gözlerini Cobalt Strike’tan ayırmaları akıllıca olmaz,” diyor. “Kobalt Strike, komuta ve kontrol ağlarıyla eş anlamlıdır – ve bu ağların altın standardıdır.”
Bazen araçlar birlikte kullanılır. Intel 471’deki araştırmacılar bu yılın başlarında Sliver’ın Cobalt Strike, Metasploit ve IcedID ile birlikte konuşlandırıldı Trojan’ı “Bumblebee” adlı yeni bir yükleyici aracılığıyla bankacılık. Şirketin istihbarat şefi Michael DeBolt, çerçevenin onu özellikle tehdit aktörleri için yararlı kılan bir özelliğe sahip olduğunu söylüyor.
“Sliver’ın birçok özelliği var, [but] Özellikle yararlı olabilecek bir tanesi, yürütmeyi belirli zaman dilimleriyle, ana bilgisayarlarla, etki alanına katılmış makinelerle veya kullanıcılarla sınırlandırma yeteneğidir” diyor ve ekliyor: “Bu özellik, implantın sandbox’lar gibi istenmeyen ortamlarda yürütülmesini engelleyebilir. tespit etme.”
Sliver, saldırganların Cobalt Strike’a alternatif olarak kullandığı birkaç C2 çerçevesinden yalnızca biridir. Örneğin Intel 471’den araştırmacılar, bazı tehdit aktörlerinin C2 amaçları için kullandığını gözlemledikten sonra, yakın zamanda Brute Ratel adlı meşru bir kırmızı ekip oluşturma aracı için algılama ekledi.
Bu yılın başlarında, Palo Alto Networks’ün 42. Birim tehdit avı ekibi, bir saldırı kampanyasında Brute Ratel’i kullanarak Rusya’nın kötü şöhretli APT29’unu (aka Cozy Bear) ortaya çıkardı.
Bu arada Lares’ten Gills, yeni olmasa da tehdit aktörlerine Kobalt Saldırısı merkezli tespit mekanizmalarından kaçınma şansı sunan bir C2 çerçevesi olan Posh2’ye işaret etti. Ve Team Cymru’dan Hopkins, şirketinin tehdit aktörleri topluluğu içinde bazı ilk benimseme belirtilerini takiben “Efsanevi” adlı bir C2 çerçevesini takip ettiğini söylüyor.
Gill, çerçevelerin yanal hareket, enjeksiyon ve çağrı gibi yeteneklerde değişiklik gösterme eğiliminde olduğunu söylüyor.
“[So]savunma açısından bakıldığında, operatörler belirli C2 çerçevelerini analiz etmekten ziyade teknikler için profil oluşturma ve imza oluşturma konusunda daha iyidir” diye belirtiyor.