Los actores de amenazas recurren a Sliver como alternativa de código abierto a los populares marcos C2

Devel Group

 

El marco legítimo de comando y control (C2) conocido como Sliver está ganando más tracción de los actores de amenazas a medida que emerge como una alternativa de código abierto a Cobalt Strike y Metasploit.

Los hallazgos provienen de Cybereason, que detalló su funcionamiento interno en un análisis exhaustivo la semana pasada.

Sliver, desarrollado por la compañía de ciberseguridad BishopFox, es un marco de postexplotación multiplataforma basado en Golang que está diseñado para ser utilizado por profesionales de seguridad en sus operaciones de equipo rojo.

Sus innumerables características para la simulación de adversarios, incluida la generación de código dinámico, la ejecución de carga útil en memoria y la inyección de procesos, también lo han convertido en una herramienta atractiva para los actores de amenazas que buscan obtener un acceso elevado al sistema objetivo al obtener un punto de apoyo inicial.

En otras palabras, el software se utiliza como una segunda etapa para llevar a cabo los siguientes pasos de la cadena de ataque después de haber comprometido una máquina utilizando uno de los vectores de intrusión iniciales, como el spear-phishing o la explotación de fallas sin parches.

“El implante Silver C2 se ejecuta en la estación de trabajo como carga útil de la etapa dos, y desde [el] servidor Sliver C2 obtenemos una sesión de concha”, dijeron los investigadores de Cybereason Loïc Castel y Meroujan Antonyan. “Esta sesión proporciona múltiples métodos para ejecutar comandos y otros scripts o binarios”.

Una secuencia de ataque hipotética detallada por la compañía israelí de ciberseguridad muestra que Sliver podría aprovecharse para la escalada de privilegios, seguida por el robo de credenciales y el movimiento lateral para finalmente hacerse cargo del controlador de dominio para la exfiltración de datos confidenciales.

Sliver ha sido armado en los últimos años por el grupo APT29 vinculado a Rusia (también conocido como Cozy Bear), así como por operadores de delitos cibernéticos como Shathak (también conocido como TA551) y Exotic Lily (también conocido como Projector Libra), el último de los cuales se atribuye al cargador de malware Bumblebee.

Dicho esto, Sliver está lejos de ser el único marco de código abierto que se explota con fines maliciosos. El mes pasado, Qualys reveló cómo varios grupos de piratería, incluidos TurlaVice Society y Wizard Spider, han utilizado Empire para la postexplotación y para expandir su posición en entornos de víctimas.

“Empire es un impresionante marco posterior a la explotación con capacidades expansivas”, dijo el investigador de seguridad de Qualys, Akshat Pradhan. “Esto ha llevado a que se convierta en un conjunto de herramientas favorito frecuente de varios adversarios”.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.