استفاده هکرها از جعبه ابزار Sliver به جای Cobalt Strike

عوامل تهدید، مجموعه تست نفوذ Cobalt Strike را به نفع فریمورک‌های مشابهی که کمتر شناخته شده‌اند، کنار می گذارند. پس از Brute Ratel، کیت منبع باز و چند پلتفرمی به نام Sliver در حال تبدیل شدن به یک جایگزین جذاب است.

استفاده هکرها از جعبه ابزار Sliver به جای  Cobalt Strike

عوامل تهدید، مجموعه تست نفوذ Cobalt Strike را به نفع فریمورک‌های مشابهی که کمتر شناخته شده‌اند، کنار می گذارند. پس از Brute Ratel، کیت منبع باز و چند پلتفرمی به نام Sliver در حال تبدیل شدن به یک جایگزین جذاب است.

با این حال، فعالیت های مخرب با استفاده از Sliver را می توان با استفاده از پرس و جوهای شکار (hunting queries) استخراج شده از تجزیه و تحلیل جعبه ابزار، نحوه کار و اجزای آن شناسایی کرد.

کنار گذاشتن Cobalt Strike

در طول سال‌های گذشته، Cobalt Strike به عنوان یک ابزار حمله برای عوامل مختلف تهدید، از جمله عملیات باج‌افزار، محبوبیت زیادی پیدا کرده است.

از آنجایی که مدافعان یاد گرفته‌اند حملات را با تکیه بر این جعبه ابزار شناسایی و متوقف کنند، هکرها گزینه‌های دیگری را امتحان می‌کنند که می‌تواند از تشخیص و پاسخ نقطه پایانی (EDR -  Endpoint Detection and Response) و راه‌حل‌های آنتی ویروس فرار کند.

عوامل تهدید بعد از مواجهه شدن با دفاع قوی‌تر در برابر Cobalt Strike، جایگزین‌هایی پیدا کرده‌اند. Palo Alto Networks مشاهده کرد که آنها به Brute Ratel، یک ابزار شبیه سازی حمله خصمانه که برای فرار از محصولات امنیتی طراحی شده است، روی آورده‌اند.

گزارشی از مایکروسافت اشاره می‌کند که هکرها، از گروه‌های تحت حمایت دولت گرفته تا باندهای جرایم سایبری، در حملات بیشتر و بیشتر از ابزار تست امنیتی Sliver مبتنی بر Go که (ساخته محققان شرکت امنیت سایبری BishopFox) استفاده می‌کنند.

یک گروه که Sliver را به کار گرفتند توسط مایکروسافت به عنوان DEV-0237 ردیابی می شوند. این باند که با نام FIN12 نیز شناخته می شود، با اپراتورهای باج افزار مختلفی مرتبط شده است.

در گذشته این باند کدهای باج افزار را از اپراتورهای باج افزار مختلف (Ryuk، Conti، Hive، Conti و BlackCat) از طریق بدافزارهای مختلف، از جمله BazarLoader و TrickBot توزیع کرده است.

بر اساس گزارشی از ستاد ارتباطات دولت بریتانیا (GCHQ)، عوامل تحت حمایت دولتی روسیه، به ویژه APT29 (با نام مستعار Cozy Bear، The Dukes، Grizzly Steppe) نیز از Sliver برای حفظ دسترسی به محیط‌های در معرض خطر استفاده کرده‌اند.

مایکروسافت اشاره می کند که Sliver در حملات اخیر با استفاده از بارگذار بدافزار Bumblebee (Coldtrain) به کار گرفته شده است که این بدافزار با گروه مجرمانه Conti به عنوان جایگزینی برای BazarLoader مرتبط است.

 

شکار فعالیت های مبتنی بر Sliver

با وجود اینکه این یک تهدید جدید است، روش‌هایی برای شناسایی فعالیت‌های مخرب ناشی از فریمورک Sliver و همچنین تهدیدات مخفی‌تر وجود دارد.

مایکروسافت مجموعه‌ای از تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) را ارائه می‌کند که مدافعان می‌توانند برای شناسایی Sliver و سایر فریمورک‌های نوظهور C2 استفاده کنند.

از آنجایی که شبکه کنترل و فرمانSliver  از چندین پروتکل (DNS، HTTP/TLS، MTLS، TCP) پشتیبانی می‌کند و اتصالات ایمپلنت/اپراتور را می‌پذیرد، و می‌تواند خود را یک وب سرور قانونی جا بزند، شکارچیان تهدید می‌توانند شنوندگانی (listeners) را برای شناسایی ناهنجاری‌ها در شبکه برای زیرساختSliver  تنظیم کنند.

مایکروسافت می‌گوید: «برخی از آثار به جا مانده رایج از بدافزارترکیبات منحصر به فرد هدر HTTP و هش‌های JARM هستند، که دومی تکنیک های انگشت نگاری فعال برای سرورهای TLS [روش شناسی برای Sliver و Bumblebee از RiskIQ] هستند»

مایکروسافت همچنین اطلاعاتی را در مورد نحوه شناسایی بارهای Sliver (کد پوسته، فایل های اجرایی، کتابخانه ها/DLL های مشترک و خدمات) که با استفاده از پایگاه کد رسمی و غیر سفارشی برای فریمورک C2 ایجاد شده است، به اشتراک گذاشت.

برای کدهای بدافزار Sliver، مایکروسافت توصیه می‌کند پیکربندی‌ها را زمانی که در حافظه بارگذاری می‌شوند استخراج کنید، زیرا فریمورک باید آن‌ها را ابهام‌زدایی و رمزگشایی کند تا بتوان از آنها استفاده کرد.

اسکن حافظه می تواند محققان را قادر به استخراج جزئیاتی مانند داده های پیکربندی کند.

شکارچیان تهدید همچنین می‌توانند به دنبال دستورات مورد استفاده برای تزریق فرآیند بگردند، که کد Sliver پیش‌فرض بدون انحراف از پیاده‌سازی‌های رایج به آن‌ها دست می‌یابد.

مایکروسافت خاطرنشان می‌کند که این جعبه ابزار همچنین برای تزریق دستور به افزونه‌ها و نام‌های مستعار (Beacon Object Files (BFOs)، برنامه‌های NET و دیگر ابزارهای شخص ثالث متکی است.

این فریمورک همچنین از PsExec برای اجرای دستوراتی استفاده می کند که امکان حرکت جانبی را فراهم می کند.

مایکروسافت برای تسهیل شناسایی فعالیت‌های Sliver در محیط خود برای شرکت‌های محافظت شده توسط Defender، مجموعه ای از پرس و جوهای شکار را ایجاد کرده است که می توانند در پورتال Microsoft 365 Defender اجرا شوند.

مایکروسافت تأکید می کند که مجموعه قوانین تشخیص ارائه شده و راهنمای شکار برای پایگاه کد Sliver است که در حال حاضر به صورت عمومی در دسترس است. پرس‌و‌جوهای مایکروسافت ممکن است انواع سفارشی شده Silver را به خوبی شناسایی نکند.

 

منبع: bleeping computer