Sliver: el marco ofensivo de seguridad que atrae cada vez más a los actores de amenazas

¿Qué es Sliver y para qué se utiliza?

Los creadores de Sliver lo describen como "un marco de equipo rojo/emulación adversaria multiplataforma de código abierto" que admite "C2 sobre TLS mutuo (mTLS), WireGuard, HTTP(S) y DNS y se compilan dinámicamente con claves de cifrado asimétricas por binario".

El framework está disponible para los sistemas operativos Linux, MacOS y Microsoft Windows y posiblemente para más, ya que todo el framework está escrito en el lenguaje de programación Go (también conocido como Golang), que se puede compilar en muchos sistemas diferentes debido a que Go es compatible con múltiples plataformas.

El caso de uso típico para el uso de dicho framework consiste en comprometer un objetivo, implementar uno o varios implantes en diferentes puntos finales o servidores pertenecientes a la red comprometida, y luego utilizar el framework para las interacciones de comando y control (C2).

Comunicaciones de red e implantes admitidos por Sliver

Sliver admite varios protocolos de red diferentes para comunicarse entre el implante y su servidor C2: DNS, HTTP/TLS, MTLS y TCP podrían utilizarse.

Los usuarios de Sliver pueden generar implantes multiplataforma en varios formatos, incluyendo shellcode, archivo ejecutable, archivo de biblioteca compartida/DLL o servicio.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Sliver también proporciona la capacidad de utilizar stagers a través del protocolo de preparación de meterpreter a través de TCP y HTTP(S). Los stagers son cargas útiles más pequeñas con características diseñadas principalmente para recuperar y lanzar implantes más grandes. Los stagers se utilizan generalmente en la fase inicial de un ataque, cuando el atacante quiere minimizar el tamaño del código malicioso para usar como carga inicial.

Microsoft afirmó en un informe reciente que los atacantes no necesariamente necesitan usar las cargas útiles DLL o ejecutables predeterminadas de Sliver. Los atacantes motivados podrían usar un shellcode generado por Sliver que incrustarán en cargadores personalizados como Bumblebee, que luego ejecutarán el implante de Sliver en el sistema comprometido.

Los implantes de Sliver pueden ser ofuscados, lo que dificulta su detección. Además, incluso si son detectados, la ofuscación puede aumentar considerablemente el tiempo de análisis para los defensores. Sliver utiliza la biblioteca gobfuscate, disponible públicamente en Github. Según los investigadores de Microsoft, desofuscar código que ha sido ofuscado con esa biblioteca es "todavía un proceso bastante manual" que difícilmente se puede automatizar.

Una forma efectiva de obtener información crítica de dicho implante es analizar su configuración una vez que se haya desofuscado en memoria.

Sliver también proporciona diferentes técnicas para ejecutar código. Una de las más comunes utilizadas por muchos frameworks consiste en inyectar código dentro del espacio de direcciones de un proceso en ejecución separado. Esto permite a los atacantes evadir la detección y, a veces, obtener privilegios más altos, entre otros beneficios.

Sliver también puede realizar movimientos laterales. Los movimientos laterales consisten en ejecutar código en diferentes computadoras desde la misma red comprometida. Sliver lo hace utilizando el comando PsExec legítimo, que a menudo genera varias alertas en las soluciones de seguridad de punto final.

Cómo proteger tu computadora de los virus: métodos y consejos

Uso de Sliver en la vida real

Los expertos en seguridad de Microsoft indican que observaron el marco Sliver siendo utilizado activamente en campañas de intrusión realizadas tanto por actores amenazantes de ciberespionaje estatales como APT29/Cozy Bear y grupos de ransomware, además de otros actores amenazantes orientados a lo financiero.

Team Cymru observó un aumento constante en las muestras de Sliver detectadas durante el primer trimestre de 2022 y compartió algunos estudios de casos.

En ocasiones, Sliver ha sido visto como un reemplazo de Cobalt Strike, otro framework de pruebas de penetración. A veces también se ha utilizado en conjunto con Cobalt Strike.

La popularidad y el aumento del uso de Cobalt Strike por parte de los actores amenazantes en los últimos años han hecho que la defensa contra él sea más eficiente. Ese aumento en la detección probablemente empujará a más actores amenazantes a utilizar frameworks menos conocidos como Sliver.

Detección de Sliver y protección contra él

Microsoft comparte consultas que se pueden ejecutar dentro del portal Microsoft 365 Defender para detectar bases de código Sliver oficiales no personalizadas disponibles en el momento de la escritura. Microsoft también compartió los hashes JARM, siendo JARM una herramienta activa de huellas de servidor de Transport Layer Security (TLS).

El Centro Nacional de Seguridad Cibernética del Reino Unido también compartió reglas YARA para detectar Sliver. Todos estos pueden ser útiles para detectar Sliver, pero podrían fallar con futuras versiones o versiones modificadas de la herramienta que los atacantes podrían desarrollar. Todos estos elementos deben buscarse constantemente a través de soluciones de seguridad en redes corporativas que tengan la capacidad de comprobar los puntos finales y servidores en busca de estas Indicadores de Compromiso (IOC) específicos.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Es necesario implementar la autenticación de dos factores (MFA) en cualquier sistema o servicio expuesto a Internet, especialmente para conexiones RDP o VPN. También se deben limitar los privilegios de los usuarios y solo se deben proporcionar privilegios administrativos a los empleados que realmente los necesiten.

Todos los sistemas deben mantenerse actualizados y parcheados para evitar ser comprometidos por una vulnerabilidad común que permita el uso de Sliver.

Divulgación: Trabajo en Trend Micro, pero las opiniones expresadas en este artículo son mías.