Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Bilgisayar korsanları, Sliver araç setini Cobalt Strike alternatifi olarak benimsiyor


Daha fazla bilgisayar korsanı, Sliver araç setini Cobalt Strike alternatifi olarak benimsiyor

Tehdit aktörleri, daha az bilinen benzer çerçeveler lehine Cobalt Strike sızma testi paketini terk ediyor. Brute Ratel’den sonra, Sliver adlı açık kaynaklı, platformlar arası kit çekici bir alternatif haline geliyor.

Ancak, Sliver kullanılarak yapılan kötü amaçlı etkinlik, araç setinin, nasıl çalıştığının ve bileşenlerinin analizinden elde edilen arama sorguları kullanılarak tespit edilebilir.

Kobalt Strike’dan uzaklaşmak

Geçtiğimiz yıllarda, Cobalt Strike, fidye yazılımı operasyonları da dahil olmak üzere çeşitli tehdit aktörlerinin, yüksek değerli sistemlere yanlamasına hareket etmeye izin veren güvenliği ihlal edilmiş ağ “işaretleri” üzerine bırakması için bir saldırı aracı olarak popülerlik kazandı.

Savunmacılar bu araç setine güvenerek saldırıları tespit etmeyi ve durdurmayı öğrendiğinden, bilgisayar korsanları Uç Nokta Tespiti ve Yanıtı (EDR) ve antivirüs çözümlerinden kaçabilecek diğer seçenekleri deniyor.

Kobalt Saldırısına karşı daha güçlü savunmalarla karşı karşıya kalan tehdit aktörleri alternatifler buldu. Palo Alto Networks onları gözlemledi Brute Ratel’e geçgüvenlik ürünlerinden kurtulmak için tasarlanmış bir düşmanca saldırı simülasyon aracı.

Microsoft’tan bir rapor, devlet destekli gruplardan siber suç çetelerine kadar bilgisayar korsanlarının Go tabanlı saldırılarda giderek daha fazla kullanıldığını belirtiyor. şerit BishopFox siber güvenlik şirketindeki araştırmacılar tarafından geliştirilen güvenlik test aracı.

Sliver’ı benimseyen bir grup, Microsoft tarafından DEV-0237 olarak izlenir. FIN12 olarak da bilinen çete, çeşitli fidye yazılımı operatörleriyle bağlantılı.

Çete, geçmişte çeşitli fidye yazılımı operatörlerinden (Ryuk, Conti, Hive, Conti ve BlackCat) fidye yazılımı yüklerini BazarLoader ve TrickBot dahil olmak üzere çeşitli kötü amaçlı yazılımlar aracılığıyla dağıttı.

FIN12 çetesi, çeşitli fidye yazılımı yüklerini dağıtıyor
kaynak: Microsoft

Birleşik Krallık Hükümeti İletişim Merkezi’nden (GCHQ) bir rapora göre, Rusya’daki devlet destekli aktörler, özellikle APT29 (aka Cozy Bear, The Dukes, Grizzly Steppe) ayrıca güvenliği ihlal edilmiş ortamlara erişimi sürdürmek için kullanılan Sliver.

Microsoft, Sliver’ın daha yeni saldırılarda Bumblebee (Coldtrain) kötü amaçlı yazılım yükleyicisi kullanılarak dağıtıldığını belirtiyor. Conti sendikası ile ilişkili BazarLoader’ın yerine geçer.

Şerit tabanlı aktivite için avcılık

Yeni bir tehdit olmasına rağmen, Sliver çerçevesinin ve ayrıca daha gizli tehditlerin neden olduğu kötü amaçlı etkinliği tespit etmek için yöntemler vardır.

Microsoft, savunucuların Sliver ve diğer ortaya çıkan C2 çerçevelerini tanımlamak için kullanabilecekleri bir dizi taktik, teknik ve prosedür (TTP) sağlar.

Sliver C2 ağı birden fazla protokolü (DNS, HTTP/TLS, MTLS, TCP) desteklediğinden ve implantları/operatör bağlantılarını kabul ettiğinden ve meşru bir web sunucusunu taklit etmek için dosyaları barındırabildiğinden, tehdit avcıları ağdaki anormallikleri tanımlamak için dinleyiciler kurabilirler. Şerit altyapısı.

“Bazı yaygın eserler, benzersiz HTTP başlık kombinasyonlarıdır ve JARM karmalarıikincisi TLS sunucuları için aktif parmak izi alma teknikleridir. [methodology for Sliver and Bumblebee from RiskIQ]”-Microsoft

Microsoft ayrıca, C2 çerçevesi için resmi, özelleştirilmemiş kod tabanı kullanılarak oluşturulan Şerit yüklerinin (kabuk kodu, yürütülebilir dosyalar, paylaşılan kitaplıklar/DLL’ler ve hizmetler) nasıl algılanacağı hakkında bilgi paylaştı.

Algılama mühendisleri, yükleyiciye özel algılamalar oluşturabilir [e.g. Bumblebee] veya, kabuk kodu gizlenmemişse, yükleyicide gömülü olan kabuk kodu yükü için kurallar.

Çok fazla içeriğe sahip olmayan Sliver kötü amaçlı yazılım yükleri için Microsoft, çerçevenin bunları kullanabilmek için gizlemesini kaldırması ve şifresini çözmesi gerektiğinden, yapılandırmaların belleğe yüklendikleri zaman çıkarılmasını önerir.

Belleğin taranması, araştırmacıların yapılandırma verileri gibi ayrıntıları çıkarmasını sağlayabilir:

Sliver test implantından konfigürasyon çıkarma
kaynak: Microsoft

Tehdit avcıları, varsayılan Şerit kodunun ortak uygulamalardan sapmadan elde ettiği işlem enjeksiyonu için kullanılan komutları da arayabilirler. Bunun için kullanılan komutlar arasında:

  • geçiş (komut) – uzak bir işleme geçiş
  • spawndll (komut) – uzak bir işlemde yansıtıcı bir DLL yükleyin ve çalıştırın
  • sideload (komut) – uzak bir işlemde paylaşılan bir nesneyi (paylaşılan kitaplık/DLL) yükleyin ve çalıştırın
  • msf-inject (komut) – bir sürece Metasploit Framework yükü enjekte edin
  • yürütme derlemesi (komut) – bir alt süreçte bir .NET derlemesini yükleyin ve çalıştırın
  • getsystem (komut) – şu şekilde yeni bir Şerit oturumu oluşturur: NT YETKİ\SİSTEM kullanıcı

Microsoft, araç setinin komut enjeksiyonu için uzantılara ve takma adlara (Beacon Object Files (BFO’lar), .NET uygulamaları ve diğer üçüncü taraf araçları) da dayandığını not eder.

Çerçeve ayrıca yanal harekete izin veren komutları çalıştırmak için PsExect’i kullanır.

Defender tarafından korunan kuruluşların ortamlarındaki Şerit etkinliğini tanımlamasını kolaylaştırmak için Microsoft, yukarıda belirtilen komutlar için Microsoft 365 Defender portalında çalıştırılabilen bir dizi arama sorgusu oluşturmuştur.

Microsoft, sağlanan algılama kuralı kümelerinin ve arama kılavuzunun şu anda herkese açık olan Şerit kod tabanı için olduğunun altını çizer. Özelleştirilmiş varyantların kullanılmasının, Microsoft’un sorgularına dayalı algılamayı etkilemesi muhtemeldir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.