Immer mehr Bedrohungsakteure setzen auf das Command-and-Control (C2)-Framework Sliver als Open-Source-Alternative zu Tools wie Metasploit und Cobalt Strike.
Die Sicherheitsforscher von Cybereason beschrieben das neue Phänomen in einem am vergangenen Donnerstag veröffentlichten Advisory und fügten hinzu, dass Sliver aufgrund seiner modularen Fähigkeiten (über Armory), der plattformübergreifenden Unterstützung und der großen Anzahl von Funktionen an Popularität gewinnt.
„Sliver C2 erfreut sich seit seiner Veröffentlichung im Jahr 2020 immer größerer Beliebtheit“, heißt es in dem Bericht. „Bis heute ist die Zahl der Bedrohungsberichte noch gering, und die wichtigsten Berichte beschreiben den Einsatz von Sliver C2 durch den russischen SVR.“
Insbesondere sagte das Team, dass es Sliver bereits bei bekannten Bedrohungsakteuren und Malware-Familien wie BumbleBee und APT29 (auch bekannt als Cozy Bear) bemerkt hat.
Das Golang-basierte Post-Exploitation-Framework wurde von der Cybersecurity-Firma Bishop Fox entwickelt, um Red-Team-Experten verschiedene Penetrationstest-Tools zur Verfügung zu stellen. Dazu gehören u. a. die dynamische Codegenerierung, die Verschleierung während der Kompilierung, der Mehrspielermodus sowie Nutzlasten in verschiedenen Stufen und ohne Stufen.
„Sliver ist als Nutzlast der zweiten Stufe konzipiert, die dem Bedrohungsakteur nach dem Einsatz vollen Zugriff auf das Zielsystem und die Möglichkeit gibt, die nächsten Schritte in der Angriffskette auszuführen“, erklären die Forscher Loïc Castel und Meroujan Antonyan im Cybereason-Bericht.
Den Cybersecurity-Experten zufolge könnte eine Angriffssequenz, die das C2-Framework ausnutzt, zu einer Privilegienerweiterung, zum Diebstahl von Anmeldeinformationen und zu lateralen Bewegungen führen. Ein von Cybereason durchgeführter Proof-of-Concept-Angriff zeigte, dass Angreifer letztlich den Domain Controller übernehmen und sensible Daten exfiltrieren könnten.
Um Angriffe auf die Plattform zu erkennen, empfahlen Castel und Antonyan den Unternehmen, auf einzigartige Netzwerk- und Systemsignaturen zu achten.
„Die Erkennung von Sliver C2 ist möglich, da dieses Framework bei der Ausführung von Sliver-spezifischen Funktionen spezifische Signaturen erstellt“, heißt es in dem Advisory. „Erkennungen und Fingerabdrücke des Infrastruktur-Servers sind ebenfalls möglich und werden in diesem Artikel aufgeführt.
Der Cybereason-Hinweis kommt zwei Monate, nachdem die Sicherheitsforscher von Proofpoint davor gewarnt haben, dass ein neues Red-Teaming-Tool mit dem Namen „Nighthawk“ bald von Bedrohungsakteuren ausgenutzt werden könnte.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Zwei Sicherheitslücken im Galaxy App Store gefunden