El marco leg\u00edtimo de comando y control (C2) conocido como Sliver est\u00e1 ganando m\u00e1s tracci\u00f3n de los actores de amenazas a medida que emerge como una alternativa de c\u00f3digo abierto a Cobalt Strike y Metasploit.<\/p>\n
Los hallazgos provienen de Cybereason, que detallado<\/a> su funcionamiento interno en un an\u00e1lisis exhaustivo la semana pasada.<\/p>\n Sliver, desarrollado por la empresa de seguridad cibern\u00e9tica BishopFox, es un marco de post-explotaci\u00f3n multiplataforma basado en Golang que est\u00e1 dise\u00f1ado para ser utilizado por profesionales de seguridad en sus operaciones de equipo rojo.<\/p>\n Sus innumerables caracter\u00edsticas para la simulaci\u00f3n de adversarios, incluida la generaci\u00f3n de c\u00f3digo din\u00e1mico, la ejecuci\u00f3n de carga \u00fatil en memoria y la inyecci\u00f3n de procesos, tambi\u00e9n la han convertido en una herramienta atractiva para los actores de amenazas que buscan obtener un acceso elevado al sistema de destino al obtener un punto de apoyo inicial.<\/p>\n En otras palabras, el software se usa como una segunda etapa para realizar los siguientes pasos de la cadena de ataque despu\u00e9s de comprometer una m\u00e1quina usando uno de los vectores de intrusi\u00f3n iniciales, como el phishing o la explotaci\u00f3n de fallas sin parchear.<\/p>\n “El implante Silver C2 se ejecuta en la estaci\u00f3n de trabajo como carga \u00fatil de la etapa dos, y desde [the] servidor Sliver C2 tenemos una sesi\u00f3n de shell “, dijeron los investigadores de Cybereason Lo\u00efc Castel y Meroujan Antonyan. “Esta sesi\u00f3n proporciona m\u00faltiples m\u00e9todos para ejecutar comandos y otros scripts o binarios”.<\/p>\n Una secuencia de ataque hipot\u00e9tica detallada por la compa\u00f1\u00eda de ciberseguridad israel\u00ed muestra que Sliver podr\u00eda aprovecharse para la escalada de privilegios, seguido por el robo de credenciales y el movimiento lateral para finalmente hacerse cargo del controlador de dominio para la exfiltraci\u00f3n de datos confidenciales.<\/p>\n Sliver ha sido armado en los \u00faltimos a\u00f1os por el grupo APT29 vinculado a Rusia (tambi\u00e9n conocido como Cozy Bear), as\u00ed como por operadores de delitos cibern\u00e9ticos como Shathak<\/a> (tambi\u00e9n conocido como TA551) y Exotic Lily (tambi\u00e9n conocido como Projector Libra), el \u00faltimo de los cuales se atribuye al cargador de malware Bumblebee.<\/p>\n Dicho esto, Sliver est\u00e1 lejos de ser el \u00fanico marco de c\u00f3digo abierto que se explota con fines maliciosos. El mes pasado, Qualys revelado<\/a> c\u00f3mo varios grupos de pirater\u00eda, incluidos Turla, Vice Society y Wizard Spider, han utilizado Empire para la explotaci\u00f3n posterior y para expandir su posici\u00f3n en los entornos de las v\u00edctimas.<\/p>\n “Empire es un marco de trabajo posterior a la explotaci\u00f3n impresionante con capacidades expansivas”, dijo Akshat Pradhan, investigador de seguridad de Qualys. “Esto ha llevado a que se convierta en un juego de herramientas favorito frecuente de varios adversarios”.<\/p>\n <\/p>\n![\"Marco](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674474008_849_Actores-de-amenazas-recurren-a-Sliver-como-alternativa-de-codigo.png\" "\\"Marco")
<\/div>\n![\"Marco](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674474008_860_Actores-de-amenazas-recurren-a-Sliver-como-alternativa-de-codigo.png\" "\\"Marco")
<\/div>\n