Киберпреступники предпочитают фреймворк Sliver другим популярным решениям

Фреймворк управления и контроля (Инфраструктура управления и контроля, также известная как C2, или C&C (сокр. от англ. «command-and-control»), представляет собой набор инструментов и методов, которые злоумышленники используют для обмена данными со скомпрометированными устройствами после первоначального вторжения (пост-эксплуатации). Конкретные механизмы атак сильно отличаются друг от друга, но обычно C2 включает один или несколько скрытых каналов связи между устройствами в атакуемой организации и контролируемой злоумышленником платформой. Эти каналы связи используются для передачи инструкций взломанным устройствам, загрузки дополнительных вредоносных данных и передачи украденных данных злоумышленнику.

» data-html=»true» data-original-title=»C2″>C2) под названием Sliver набирает всё большую популярность у злоумышленников. Он продвигается в качестве Open Source альтернативы другим C2 решениям вроде Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike и Metasploit — фреймворк с открытым исходным кодом, который позволяет проводить пентест, искать уязвимости в сетях и на серверах. С помощью Metasploit также можно писать и распространять эксплойты.

Благодаря открытому исходному коду, его можно легко настроить и использовать на большинстве операционных систем.

» data-html=»true» data-original-title=»Metasploit»>Metasploit.

Sliver был разработан
компанией BishopFox, занимающейся кибербезопасностью. Он представляет собой кроссплатформенную среду постэксплуатации на основе Go (часто также «Golang») – компилируемый многопоточный язык программирования, разработанный внутри компании Google. Официально язык был представлен в ноябре 2009 года. На данный момент поддержка официального компилятора, разрабатываемого создателями языка, осуществляется для операционных систем FreeBSD, OpenBSD, Linux, macOS, Windows, DragonFly BSD, Plan 9, Solaris, Android, AIX.

» data-html=»true» data-original-title=»Golang»>Golang, предназначенную для использования специалистами по безопасности.

Бесчисленные функции Sliver для моделирования зловредных действий, такие как генерация динамического кода, выполнение полезной нагрузки в памяти и внедрение процессов — сделали его привлекательным инструментом для злоумышленников, стремящихся получить повышенный доступ к целевой системе.

Другими словами, программное обеспечение используется в качестве второго этапа для выполнения следующих шагов цепочки атак. Уже после того, как компьютер был скомпрометирован доступными киберпреступникам способами.

Гипотетическая последовательность атак, подробно описанная Cybereason, показывает, что Sliver может быть использован для повышения привилегий в системе, за которым последует кража конфиденциальных данных.

В последние годы Sliver использовался в своих атаках группами APT29 (она же Cozy Bear), Shathak (она же TA551) и Exotic Lily (она же Projector Libra).

Тем не менее, Sliver — далеко не единственный C2 Фреймворк (от англ. «framework» – несущая конструкция, каркас, рама) – программная платформа, определяющая структуру программной системы. Это программное обеспечение, облегчающее разработку и объединение разных компонентов большого программного проекта.

» data-html=»true» data-original-title=»фреймворк»>фреймворк с открытым исходным кодом, который можно использовать в злонамеренных целях. В прошлом месяце компания Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider — использовали фреймворк Empire для постэксплуатации и расширения своих позиций. «Empire — это впечатляющая платформа для постэксплуатации с широкими возможностями», — сказал Акшат Прадхан, исследователь безопасности Qualys.

Источник