Sliver olarak bilinen meşru komuta ve kontrol (C2) çerçevesi, Cobalt Strike ve Metasploit’e açık kaynak bir alternatif olarak ortaya çıktıkça tehdit aktörlerinden daha fazla ilgi görüyor.
Bulgular Cybereason’dan geliyor. detaylı geçen hafta kapsamlı bir analizde iç işleyişi.
Siber güvenlik şirketi BishopFox tarafından geliştirilen Sliver, kırmızı ekip operasyonlarında güvenlik profesyonelleri tarafından kullanılmak üzere tasarlanmış Golang tabanlı bir çapraz platform sömürü sonrası çerçevesidir.
Dinamik kod oluşturma, bellek içi yük yürütme ve süreç enjeksiyonu dahil olmak üzere düşman simülasyonuna yönelik sayısız özelliği, onu ilk dayanak noktası elde ettikten sonra hedef sisteme yüksek erişim elde etmek isteyen tehdit aktörleri için çekici bir araç haline getirdi.
Diğer bir deyişle, hedef odaklı kimlik avı veya yama uygulanmamış açıklardan yararlanma gibi ilk izinsiz giriş vektörlerinden birini kullanarak bir makineyi tehlikeye attıktan sonra saldırı zincirinin sonraki adımlarını yürütmek için ikinci bir aşama olarak yazılım kullanılır.
“Gümüş C2 implant, iş istasyonunda ikinci aşama yük olarak yürütülür ve [the] Cybereason araştırmacıları Loïc Castel ve Meroujan Antonyan, “Sliver C2 sunucusunda bir kabuk oturumu elde ediyoruz” dedi. “Bu oturum, komutları ve diğer komut dosyalarını veya ikili dosyaları yürütmek için birden fazla yöntem sağlar.”
İsrailli siber güvenlik şirketi tarafından detaylandırılan varsayımsal bir saldırı sekansı, Sliver’ın ayrıcalık yükseltme için kullanılabileceğini, bunu kimlik bilgisi hırsızlığı ve hassas verilerin çalınması için etki alanı denetleyicisini nihayetinde devralmak üzere yanal hareketle takip edebileceğini gösteriyor.
Sliver, son yıllarda Rusya bağlantılı APT29 grubu (namı diğer Cozy Bear) ve siber suç operatörleri tarafından silah haline getirildi. Şatak (namı diğer TA551) ve Exotic Lily (aka Projector Libra), ikincisi Bumblebee kötü amaçlı yazılım yükleyicisine atfedilir.
Bununla birlikte, Sliver, kötü niyetli amaçlar için sömürülecek tek açık kaynak çerçevesi değildir. Geçen ay, Qualys ifşa Turla, Vice Society ve Wizard Spider dahil olmak üzere birçok bilgisayar korsanlığı grubunun, istismar sonrası için Empire’ı nasıl kullandığını ve kurban ortamlarındaki dayanaklarını nasıl genişlettiğini.
Qualys güvenlik araştırmacısı Akshat Pradhan, “Empire, geniş yeteneklere sahip etkileyici bir sömürü sonrası çerçevedir” dedi. “Bu, birkaç rakibin sıklıkla favori bir araç seti haline gelmesine yol açtı.”