Sliver como alternativa de código abierto a los populares marcos C2

El marco legítimo de comando y control (C2) conocido como Sliver está ganando más tracción de los actores de amenazas a medida que emerge como una alternativa de código abierto a Cobalt Strike y Metasploit.

Los hallazgos provienen de Cybereason, que detalló su funcionamiento interno en un análisis exhaustivo la semana pasada.

Sliver, desarrollado por la empresa de seguridad cibernética BishopFox, es un marco de post-explotación multiplataforma basado en Golang que está diseñado para ser utilizado por profesionales de seguridad en sus operaciones de equipo rojo.

Sus innumerables características para la simulación de adversarios, incluida la generación de código dinámico, la ejecución de carga útil en memoria y la inyección de procesos, también la han convertido en una herramienta atractiva para los actores de amenazas que buscan obtener un acceso elevado al sistema de destino al obtener un punto de apoyo inicial.


En otras palabras, el software se usa como una segunda etapa para realizar los siguientes pasos de la cadena de ataque después de comprometer una máquina usando uno de los vectores de intrusión iniciales, como el phishing o la explotación de fallas sin parchear.

"El implante Silver C2 se ejecuta en la estación de trabajo como carga útil de la etapa dos, y desde [el] servidor Sliver C2 obtenemos una sesión de shell", dijeron los investigadores de Cybereason Loïc Castel y Meroujan Antonyan. "Esta sesión proporciona múltiples métodos para ejecutar comandos y otros scripts o archivos binarios".

Una secuencia de ataque hipotética detallada por la compañía de ciberseguridad israelí muestra que Sliver podría aprovecharse para la escalada de privilegios, seguido por el robo de credenciales y el movimiento lateral para finalmente hacerse cargo del controlador de dominio para la exfiltración de datos confidenciales.

Sliver ha sido armado en los últimos años por el grupo APT29 vinculado a Rusia (también conocido como Cozy Bear), así como por operadores de delitos cibernéticos como Shathak (también conocido como TA551) y Exotic Lily (también conocido como Projector Libra), el último de los cuales se atribuye al cargador de malware Bumblebee.


Dicho esto, Sliver está lejos de ser el único marco de código abierto que se explota con fines maliciosos. El mes pasado, Qualys reveló cómo varios grupos de piratería, incluidos Turla , Vice Society y Wizard Spider , han utilizado Empire para la explotación posterior y para expandir su posición en los entornos de las víctimas.

"Empire es un marco de trabajo posterior a la explotación impresionante con capacidades expansivas", dijo Akshat Pradhan, investigador de seguridad de Qualys. "Esto ha llevado a que se convierta en un juego de herramientas favorito frecuente de varios adversarios".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta