Peretas mengadopsi toolkit Sliver sebagai alternatif Cobalt Strike

Pelaku ancaman membuang suite pengujian penetrasi Cobalt Strike demi kerangka kerja serupa yang kurang dikenal. Setelah Brute Ratel, kit lintas platform open-source yang disebut Sliver menjadi alternatif yang menarik.

Namun, aktivitas jahat menggunakan Sliver dapat dideteksi menggunakan kueri perburuan yang diambil dari analisis toolkit, cara kerjanya, dan komponennya.

Selama beberapa tahun terakhir, Cobalt Strike semakin populer sebagai alat serangan untuk berbagai pelaku ancaman, termasuk operasi ransomware, untuk menjatuhkan “suar” jaringan yang disusupi yang memungkinkan bergerak secara lateral ke sistem bernilai tinggi.

Karena para pembela HAM telah belajar untuk mendeteksi dan menghentikan serangan dengan mengandalkan toolkit ini, para peretas mencoba opsi lain yang dapat menghindari Endpoint Detection and Response (EDR) dan solusi antivirus.

Menghadapi pertahanan yang lebih kuat terhadap Cobalt Strike, aktor ancaman telah menemukan alternatif. Palo Alto Networks mengamati mereka beralih ke Brute Ratel, alat simulasi serangan permusuhan yang dirancang untuk menghindari produk keamanan.

Sebuah laporan dari Microsoft mencatat bahwa peretas, dari kelompok yang disponsori negara hingga geng kejahatan dunia maya, semakin banyak menggunakan alat pengujian keamanan Sliver berbasis Go yang dikembangkan oleh para peneliti di perusahaan keamanan siber BishopFox dalam serangan.

Satu grup yang mengadopsi Sliver dilacak sebagai DEV-0237 oleh Microsoft. Juga dikenal sebagai FIN12, geng tersebut telah dikaitkan dengan berbagai operator ransomware.

Geng telah mendistribusikan muatan ransomware dari berbagai operator ransomware di masa lalu (Ryuk, Conti, Hive, Conti, dan BlackCat) melalui berbagai malware, termasuk BazarLoader dan TrickBot.

Geng FIN12 menyebarkan berbagai muatan ransomware
sumber: Microsoft

Menurut laporan dari Government Communications Headquarters (GCHQ) Inggris, aktor yang disponsori negara di Rusia, khususnya APT29 (alias Cozy Bear, The Dukes, Grizzly Steppe) juga telah menggunakan Sliver untuk mempertahankan akses ke lingkungan yang disusupi.

Microsoft mencatat bahwa Sliver telah digunakan dalam serangan yang lebih baru menggunakan pemuat malware Bumblebee (Coldtrain), yang dikaitkan dengan sindikat Conti sebagai pengganti BazarLoader.

Microsoft menyediakan seperangkat taktik, teknik, dan prosedur (TTP) yang dapat digunakan para defender untuk mengidentifikasi Sliver dan kerangka kerja C2 lainnya yang muncul.

Karena jaringan Sliver C2 mendukung banyak protokol (DNS, HTTP/TLS, MTLS, TCP) dan menerima koneksi implan/operator, dan dapat meng-host file untuk meniru server web yang sah, pemburu ancaman dapat mengatur pendengar untuk mengidentifikasi anomali pada jaringan untuk Infrastruktur sliver.

Microsoft juga berbagi informasi tentang cara mendeteksi payload Sliver (shellcode, executable, shared library/DLL, dan layanan) yang dihasilkan menggunakan basis kode resmi yang tidak disesuaikan untuk kerangka kerja C2.

Insinyur deteksi dapat membuat deteksi khusus pemuat [mis. Bumblebee] atau, jika shellcode tidak di-obfuscate, aturan untuk payload shellcode yang disematkan di loader.

Untuk muatan malware Sliver yang tidak memiliki banyak konteks, Microsoft merekomendasikan untuk mengekstrak konfigurasi ketika dimuat ke dalam memori karena kerangka kerja harus menghilangkan penyamaran dan mendekripsinya agar dapat menggunakannya.

Memindai memori dapat memungkinkan peneliti untuk mengekstrak detail seperti data konfigurasi:

Ekstraksi konfigurasi dari implan uji Sliver
sumber: Microsoft

Pemburu ancaman juga dapat mencari perintah yang digunakan untuk injeksi proses, yang dicapai oleh kode Sliver default tanpa menyimpang dari implementasi umum. Di antara perintah yang digunakan untuk ini adalah:

migrasi (perintah) – migrasi ke proses jarak jauh

spawndll (perintah) – memuat dan menjalankan DLL reflektif dalam proses jarak jauh

sideload (perintah) – memuat dan menjalankan objek bersama (pustaka bersama/DLL) dalam proses jarak jauh

msf-inject (perintah) – menyuntikkan muatan Metasploit Framework ke dalam proses

execute-assembly (command) – memuat dan menjalankan .NET assembly dalam proses anak

getsystem (command) – memunculkan sesi Sliver baru sebagai Pengguna NT AUTHORITY\SYSTEM

Microsoft mencatat bahwa toolkit ini juga bergantung pada ekstensi dan alias (Beacon Object Files (BFO), aplikasi .NET, dan peralatan pihak ketiga lainnya) untuk injeksi perintah.

Kerangka kerja ini juga menggunakan PsExect untuk menjalankan perintah yang memungkinkan gerakan lateral.

Untuk mempermudah perusahaan yang dilindungi oleh Defender untuk mengidentifikasi aktivitas Sliver di lingkungan mereka, Microsoft telah membuat untuk perintah yang disebutkan di atas sekumpulan kueri berburu yang dapat dijalankan di portal Microsoft 365 Defender.

Microsoft menggarisbawahi bahwa kumpulan aturan deteksi dan panduan berburu yang disediakan adalah untuk basis kode Sliver yang saat ini tersedia untuk umum. Penggunaan varian yang disesuaikan kemungkinan akan memengaruhi deteksi berdasarkan kueri Microsoft.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings