Sliver - это инструмент тестирования на проникновение с открытым исходным кодом, разработанный на языке программирования Go. Cobalt Strike и Metasploit являются основными примерами инструментов тестирования на проникновение, используемых многими угрожающими субъектами, и различные случаи атак с использованием этих инструментов были освещены здесь, в блоге ASEC. Недавно появились случаи использования угрожающими субъектами Sliver в дополнение к Cobalt Strike и Metasploit.
Аналитическая группа ASEC (AhnLab Security Emergency response Center) отслеживает атаки на системы с непропатченными уязвимостями или неправильно настроенными параметрами. В ходе этого процесса мы недавно обнаружили бэкдор Sliver, устанавливаемый посредством, предположительно, эксплуатации уязвимости в определенном программном обеспечении. Угрозы не только использовали бэкдор Sliver, но и применяли вредоносное ПО BYOVD (Bring Your Own Vulnerable Driver), чтобы вывести из строя продукты безопасности и установить обратные оболочки.
Программное обеспечение, на которое была направлена эксплуатация этой уязвимости - Sunlogin, программа дистанционного управления, разработанная в Китае. Sunlogin, уязвимость удаленного выполнения кода которой (CNVD-2022-10270 / CNVD-2022-03672) и код, использующий эту уязвимость, были обнародованы в прошлом году, по-прежнему подвергается атакам на уязвимость.
Sliver
Инструменты тестирования на проникновение используются для проверки уязвимостей безопасности в сетях и системах компаний и институтов. Они могут быть использованы в злонамеренных целях, если попадут в руки злоумышленников, поскольку обычно предоставляют различные функции для каждого этапа тестирования на проникновение.
Наиболее известным коммерческим инструментом тестирования на проникновение, скорее всего, является Cobalt Strike. После выпуска его взломанной версии он до сих пор используется различными субъектами угроз. Существует также инструмент с открытым исходным кодом Metasploit, который также легко получить и который часто используется в атаках. Помимо Cobalt Strike и Metasploit существует множество других инструментов тестирования на проникновение, но в большинстве недавних случаев был обнаружен инструмент Sliver с открытым исходным кодом.
Среди особенностей Sliver тот факт, что он был разработан с использованием Go, кроссплатформенного языка, позволяет ему поддерживать Windows, Linux и macOS. Его сравнительно недавнюю разработку также можно считать определяющей характеристикой, но это связано с тем, что инструменты, которые постоянно использовались субъектами угроз в прошлом, такие как Cobalt Strike и Metasploit, более склонны к обнаружению продуктами безопасности по сравнению со Sliver. Поэтому Sliver используется различными субъектами угроз вместо существующих инструментов, таких как Cobalt Strike.
Через созданный Sliver бэкдор субъект угрозы может отправлять команды для выполнения различных вредоносных действий. Его возможности включают большинство функций, поддерживаемых типичными бэкдорами и вредоносными программами RAT, таких как обработка процессов и файлов, выполнение команд, загрузка/выгрузка файлов и захват скриншотов. Он также предоставляет другие функции, необходимые для захвата внутренних сетей, такие как повышение привилегий, дамп памяти процесса и боковое перемещение.
Помимо обнаружения файлов, поведения и памяти, продукты для защиты от вредоносного ПО также способны обнаруживать сетевое поведение, например, когда штамм вредоносного ПО пытается связаться с C&C-серверами. Поэтому различные инструменты тестирования на проникновение, включая Cobalt Strike, предоставляют множество способов обхода связи с C&C-сервером, чтобы обойти обнаружение сети. Sliver также поддерживает методы, использующие mTLS, WireGuard, HTTP(S) и DNS для связи с C&C-сервером, что позволяет ему обходить сетевое обнаружение продуктов безопасности за счет шифрования сетевого взаимодействия.
Режим сеанса и режим маяка - это два режима, которые также поддерживаются бэкдором Sliver. Sliver, созданный в режиме сеанса, взаимодействует с сервером C&C в режиме реального времени, в то время как Sliver, созданный в режиме маяка, взаимодействует с сервером C&C асинхронно. Последний получает команды или списки задач от сервера C&C и отправляет результаты после их выполнения.
Sunlogin - это утилита удаленного управления, разработанная китайской технологической компанией Oray. В 2022 году уязвимость удаленного выполнения кода, CNVD-2022-10270 / CNVD-2022-03672, была опубликована в открытом доступе вместе с эксплуатирующим ее кодом, после чего были найдены атаки, использующие ее. Мы предполагаем, что "SunloginCLient.exe" является уязвимым процессом, на который направлены атаки, и многочисленные атаки были подтверждены с начала 2022 года согласно нашим журналам ASD.
Indicators of Compromise
IPv4 Port Combinations
- 45.144.3.216:14356
- 43.128.62.42:8888
Domain Port Combinations
- idc6.yjzj.org:56573
URls
- http://43.128.62.42/acl.exe
- http://45.144.3.216/2.ps1
- http://45.144.3.216/powercat.ps1
- http://5.199.173.103/7za.exe
- http://5.199.173.103/syse.bat
- http://5.199.173.103/t.zip
- http://5.199.173.103/t_64.zip
- http://61.155.8.2:81/c6/include/images/help23.sct
MD5
- 17a84000567055be92bda8659de5184d
- 1c5e484da6e6e1c2246f6d65f23bb49b
- 2434d32b1bebf22ac7ab461a44cf1624
- 29d04d986a31fbeab39c6b7eab5f5550
- 57b21f6b5d50e4ec525bee77bc724a4d
- 6f0c0faada107310bddc59f113ae9013
- 7eaa2e3d9c8b7aa6ecdd8dad0d1ba673
- 836810671d8e1645b7dd35b567d75f27
- 8a319fa42e7c7432318f28a990f15696
- 8c10401a59029599bed435575914b30d
- f71b0c2f7cd766d9bdc1ef35c5ec1743