Tehdit aktörleri, daha az bilinen benzer çerçeveler lehine Cobalt Strike sızma testi paketini terk ediyor. Brute Ratel’den sonra, Sliver adlı açık kaynaklı, platformlar arası kit çekici bir alternatif haline geliyor.
Ancak, Sliver kullanılarak yapılan kötü amaçlı etkinlik, araç setinin, nasıl çalıştığının ve bileşenlerinin analizinden elde edilen arama sorguları kullanılarak tespit edilebilir.
Kobalt Strike’dan uzaklaşmak
Geçtiğimiz yıllarda, Cobalt Strike, fidye yazılımı operasyonları da dahil olmak üzere çeşitli tehdit aktörlerinin, yüksek değerli sistemlere yanlamasına hareket etmeye izin veren güvenliği ihlal edilmiş ağ “işaretleri” üzerine bırakması için bir saldırı aracı olarak popülerlik kazandı.
Savunmacılar bu araç setine güvenerek saldırıları tespit etmeyi ve durdurmayı öğrendiğinden, bilgisayar korsanları Uç Nokta Tespiti ve Yanıtı (EDR) ve antivirüs çözümlerinden kaçabilecek diğer seçenekleri deniyor.
Kobalt Saldırısına karşı daha güçlü savunmalarla karşı karşıya kalan tehdit aktörleri alternatifler buldu. Palo Alto Networks onları gözlemledi Brute Ratel’e geçgüvenlik ürünlerinden kurtulmak için tasarlanmış bir düşmanca saldırı simülasyon aracı.
Microsoft’tan bir rapor, devlet destekli gruplardan siber suç çetelerine kadar bilgisayar korsanlarının Go tabanlı saldırılarda giderek daha fazla kullanıldığını belirtiyor. şerit BishopFox siber güvenlik şirketindeki araştırmacılar tarafından geliştirilen güvenlik test aracı.
Sliver’ı benimseyen bir grup, Microsoft tarafından DEV-0237 olarak izlenir. FIN12 olarak da bilinen çete, çeşitli fidye yazılımı operatörleriyle bağlantılı.
Çete, geçmişte çeşitli fidye yazılımı operatörlerinden (Ryuk, Conti, Hive, Conti ve BlackCat) fidye yazılımı yüklerini BazarLoader ve TrickBot dahil olmak üzere çeşitli kötü amaçlı yazılımlar aracılığıyla dağıttı.
Birleşik Krallık Hükümeti İletişim Merkezi’nden (GCHQ) bir rapora göre, Rusya’daki devlet destekli aktörler, özellikle APT29 (aka Cozy Bear, The Dukes, Grizzly Steppe) ayrıca güvenliği ihlal edilmiş ortamlara erişimi sürdürmek için kullanılan Sliver.
Microsoft, Sliver’ın daha yeni saldırılarda Bumblebee (Coldtrain) kötü amaçlı yazılım yükleyicisi kullanılarak dağıtıldığını belirtiyor. Conti sendikası ile ilişkili BazarLoader’ın yerine geçer.
Şerit tabanlı aktivite için avcılık
Yeni bir tehdit olmasına rağmen, Sliver çerçevesinin ve ayrıca daha gizli tehditlerin neden olduğu kötü amaçlı etkinliği tespit etmek için yöntemler vardır.
Microsoft, savunucuların Sliver ve diğer ortaya çıkan C2 çerçevelerini tanımlamak için kullanabilecekleri bir dizi taktik, teknik ve prosedür (TTP) sağlar.
Sliver C2 ağı birden fazla protokolü (DNS, HTTP/TLS, MTLS, TCP) desteklediğinden ve implantları/operatör bağlantılarını kabul ettiğinden ve meşru bir web sunucusunu taklit etmek için dosyaları barındırabildiğinden, tehdit avcıları ağdaki anormallikleri tanımlamak için dinleyiciler kurabilirler. Şerit altyapısı.
“Bazı yaygın eserler, benzersiz HTTP başlık kombinasyonlarıdır ve JARM karmalarıikincisi TLS sunucuları için aktif parmak izi alma teknikleridir. [methodology for Sliver and Bumblebee from RiskIQ]”-Microsoft
Microsoft ayrıca, C2 çerçevesi için resmi, özelleştirilmemiş kod tabanı kullanılarak oluşturulan Şerit yüklerinin (kabuk kodu, yürütülebilir dosyalar, paylaşılan kitaplıklar/DLL’ler ve hizmetler) nasıl algılanacağı hakkında bilgi paylaştı.
Algılama mühendisleri, yükleyiciye özel algılamalar oluşturabilir [e.g. Bumblebee] veya, kabuk kodu gizlenmemişse, yükleyicide gömülü olan kabuk kodu yükü için kurallar.
Çok fazla içeriğe sahip olmayan Sliver kötü amaçlı yazılım yükleri için Microsoft, çerçevenin bunları kullanabilmek için gizlemesini kaldırması ve şifresini çözmesi gerektiğinden, yapılandırmaların belleğe yüklendikleri zaman çıkarılmasını önerir.
Belleğin taranması, araştırmacıların yapılandırma verileri gibi ayrıntıları çıkarmasını sağlayabilir:
Tehdit avcıları, varsayılan Şerit kodunun ortak uygulamalardan sapmadan elde ettiği işlem enjeksiyonu için kullanılan komutları da arayabilirler. Bunun için kullanılan komutlar arasında:
- geçiş (komut) – uzak bir işleme geçiş
- spawndll (komut) – uzak bir işlemde yansıtıcı bir DLL yükleyin ve çalıştırın
- sideload (komut) – uzak bir işlemde paylaşılan bir nesneyi (paylaşılan kitaplık/DLL) yükleyin ve çalıştırın
- msf-inject (komut) – bir sürece Metasploit Framework yükü enjekte edin
- yürütme derlemesi (komut) – bir alt süreçte bir .NET derlemesini yükleyin ve çalıştırın
- getsystem (komut) – şu şekilde yeni bir Şerit oturumu oluşturur: NT YETKİ\SİSTEM kullanıcı
Microsoft, araç setinin komut enjeksiyonu için uzantılara ve takma adlara (Beacon Object Files (BFO’lar), .NET uygulamaları ve diğer üçüncü taraf araçları) da dayandığını not eder.
Çerçeve ayrıca yanal harekete izin veren komutları çalıştırmak için PsExect’i kullanır.
Defender tarafından korunan kuruluşların ortamlarındaki Şerit etkinliğini tanımlamasını kolaylaştırmak için Microsoft, yukarıda belirtilen komutlar için Microsoft 365 Defender portalında çalıştırılabilen bir dizi arama sorgusu oluşturmuştur.
Microsoft, sağlanan algılama kuralı kümelerinin ve arama kılavuzunun şu anda herkese açık olan Şerit kod tabanı için olduğunun altını çizer. Özelleştirilmiş varyantların kullanılmasının, Microsoft’un sorgularına dayalı algılamayı etkilemesi muhtemeldir.