Das legitime Command-and-Control (C2)-Framework Sliver gewinnt bei Bedrohungsakteuren zunehmend an Bedeutung, da es sich als Open-Source-Alternative zu Cobalt Strike und Metasploit etabliert hat.
Das geht aus einer ausführlichen Analyse von Cybereason hervor, die das Innenleben von Sliver in der vergangenen Woche detailliert beschrieben hat.
Sliver wurde von der Cybersecurity-Firma BishopFox entwickelt und ist ein Golang-basiertes, plattformübergreifendes Post-Exploitation-Framework, das von Sicherheitsexperten für ihre Red-Team-Operationen eingesetzt werden soll.
Seine zahlreichen Funktionen für die Simulation von Angreifern – einschließlich dynamischer Codegenerierung, In-Memory-Ausführung von Nutzdaten und Prozessinjektion – haben es auch für Bedrohungsakteure interessant gemacht, die sich nach dem ersten Eindringen in das Zielsystem einen erweiterten Zugang verschaffen wollen.
Mit anderen Worten: Die Software wird als zweiter Schritt in der Angriffskette eingesetzt, nachdem ein Rechner bereits über einen der ersten Eindringungsvektoren wie Spearphishing oder die Ausnutzung ungepatchter Schwachstellen kompromittiert wurde.
„Das Silver C2-Implantat wird auf dem Arbeitsplatzrechner als Nutzlast der zweiten Stufe ausgeführt, und von [dem] Sliver C2-Server erhalten wir eine Shell-Sitzung“, so die Cybereason-Forscher Lo??c Castel und Meroujan Antonyan. „Diese Sitzung bietet mehrere Methoden, um Befehle und andere Skripte oder Binärdateien auszuführen“.
Eine hypothetische Angriffssequenz, die von dem israelischen Cybersicherheitsunternehmen beschrieben wurde, zeigt, dass Sliver für eine Privilegienerweiterung genutzt werden könnte, gefolgt von einem Diebstahl von Anmeldeinformationen und einer seitlichen Bewegung, um schließlich den Domain-Controller zu übernehmen und sensible Daten auszuspionieren.
Sliver wurde in den letzten Jahren von der russischen Gruppe APT29 (auch bekannt als Cozy Bear) sowie von Cyberkriminellen wie Shathak (auch bekannt als TA551) und Exotic Lily (auch bekannt als Projector Libra) eingesetzt, wobei letztere auf den Bumblebee Malware Loader zurückgeführt wird.
Sliver ist jedoch bei weitem nicht das einzige Open-Source-Framework, das für bösartige Zwecke ausgenutzt wird. Letzten Monat hat Qualys aufgedeckt, wie mehrere Hackergruppen, darunter Turla, Vice Society und Wizard Spider, Empire für Post-Exploitation genutzt haben, um ihre Position in den Umgebungen der Opfer auszubauen.
„Empire ist ein beeindruckendes Post-Exploitation-Framework mit weitreichenden Fähigkeiten“, sagte Qualys-Sicherheitsforscher Akshat Pradhan. „Das hat dazu geführt, dass es zu einem beliebten Toolkit für verschiedene Angreifer geworden ist.“