日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Sliver取代CobaltStrike成黑客滲透工具“新寵”

8月25日消息,攻擊者逐漸棄用Cobalt Strike滲透測試套件,轉(zhuǎn)而使用不太知名的類似框架。開源跨平臺工具Sliver正取代Brute Ratel成為受攻擊者青睞的武器。

網(wǎng)站建設(shè)哪家好,找成都創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了江都免費建站歡迎大家使用!

在過去的幾年里,Cobalt Strike被各類攻擊者濫用(包括勒索軟件操作),攻擊者利用它在被攻擊的網(wǎng)絡上投放 "信標",橫向移動到高價值系統(tǒng)。

但防守方已經(jīng)掌握檢測和阻止Cobalt Strike攻擊的方法,攻擊者轉(zhuǎn)向嘗試其他可以逃避端點檢測和響應(EDR)和防病毒解決方案的工具。

微軟的一份報告指出,從國家支持的團體到網(wǎng)絡犯罪團伙,攻擊者越來越多地使用由BishopFox網(wǎng)絡安全公司的研究人員開發(fā)的,基于Go語言的Sliver安全測試工具。

微軟追蹤到一個采用Sliver的團體是DEV-0237。該團伙也被稱為FIN12,與各種勒索軟件運營商有聯(lián)系。

該團伙曾通過各種惡意軟件(BazarLoader和TrickBot)分發(fā)各種勒索軟件運營商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索軟件有效載荷。

FIN12團伙分發(fā)的各類勒索軟件有效載荷

根據(jù)英國政府通信總部(GCHQ)的一份報告,APT29(又名Cozy Bear、The Dukes、Grizzly Steppe)也使用Sliver進行攻擊。

微軟指出,Conti勒索團伙在最近的攻擊活動中部署了Sliver,并使用Bumblebee(Coldtrain)惡意軟件加載程序代替BazarLoader。

然而,使用Sliver的惡意活動可以通過分析工具包、工作原理及其組件得出的狩獵查詢來檢測。

微軟提供了一套戰(zhàn)術(shù)、技術(shù)和程序(TTPs),防御者可以用來識別Sliver和其他新興的C2框架。

由于Sliver C2網(wǎng)絡支持多種協(xié)議(DNS、HTTP/TLS、MTLS、TCP),并接受植入/操作連接,并可以托管文件來模擬合法的web服務器,威脅獵人可以設(shè)置偵聽器來識別網(wǎng)絡上Sliver基礎(chǔ)設(shè)施的異常情況。

“一些常見的工件是獨特的HTTP頭組合和JARM散列,后者是TLS服務器的主動指紋技術(shù)。”微軟指出。

微軟還分享了如何檢測使用官方的、非定制的C2框架代碼庫生成的Sliver有效負載(shell代碼、可執(zhí)行文件、共享庫/ dll和服務)的信息。

檢測工程師可以創(chuàng)建加載器特定的檢測(例如Bumblebee),或者如果shellcode沒有被混淆,則為嵌入在加載器中的shellcode有效負載創(chuàng)建規(guī)則。

對于沒有太多上下文的Sliver惡意軟件載荷,微軟建議在它們加載到內(nèi)存時提取配置,因為框架必須對它們進行反混淆和解密才能使用它們。

Sliver加載到內(nèi)存時提取配置

掃描存儲器可以幫助研究人員提取出諸如配置數(shù)據(jù)等細節(jié)。

威脅獵手還可以查找進程注入命令,默認的Sliver代碼中常見的有:

  • Migrate(命令)——遷移到遠程進程
  • Spawndll(命令)——在遠程進程中加載并運行一個反射DLL
  • Sideload(命令)——在遠程進程中加載并運行共享對象(共享庫/DLL)
  • msf-inject(命令)——將Metasploit Framework負載注入進程
  • execute-assembly (命令)——在子進程中加載并運行.NET程序集
  • Getsystem(命令)——以NT AUTHORITY/SYSTEM用戶的身份生成一個新的Sliver會話

微軟指出,該工具包還依賴于擴展名和別名(Beacon Object Files (BFOs)、 . net應用程序和其他第三方工具)來進行命令注入。

該框架還使用PsExec來運行允許橫向移動的命令。

為了讓企業(yè)更容易識別其環(huán)境中的Sliver活動,微軟已經(jīng)為上述命令創(chuàng)建了一組可以在Microsoft 365 Defender門戶中運行的狩獵查詢。

微軟強調(diào),提供的檢測規(guī)則集和查找指導是針對目前公開的Sliver代碼庫的?;谧凅w開發(fā)的Sliver可能會影查詢結(jié)果。

參考鏈接:https://www.bleepingcomputer.com/news/security/hackers-adopt-sliver-toolkit-as-a-cobalt-strike-alternative/


標題名稱:Sliver取代CobaltStrike成黑客滲透工具“新寵”
轉(zhuǎn)載源于:http://www.5511xx.com/article/cdgeidj.html