Крупные и опытные группировки уже перешли на open-source инструмент Sliver.
Согласно отчету Microsoft, правительственные хакеры, кибепреступные группировки и другие субъекты угроз стали чаще использовать в атаках кроссплатформенный open-source инструмент тестирования безопасности Sliver на основе Go, разработанный ИБ-компанией BishopFox.
Вымогательская группировка DEV-0237 ( FIN12 ) уже перешла на Sliver, а также российская группа APT29 (Cozy Bear, The Dukes, Grizzly Steppe) использовала Sliver для поддержания доступа к скомпрометированным средам .
Также Sliver разворачивается с помощью загрузчика Bumblebee (Coldtrain), который разработала Conti в качестве замены BazarLoader.
Несмотря на то, что Sliver – это новая угроза, существуют методы обнаружения ее вредоносной активности. C&C-сервер Sliver поддерживает несколько протоколов (DNS, HTTP/TLS, MTLS, TCP) и подключение имплантатов, а также может размещать файлы, имитирующие законный веб-сервер. Поэтому ИБ-специалисты могут настроить прослушиватели для выявления инфраструктуры Sliver в сети.
Microsoft также поделилась информацией о том, как обнаруживать полезные нагрузки Sliver (шелл-код, исполняемые файлы, DLL-библиотеки и службы). Специалисты могут настроить систему обнаружения для конкретного загрузчика или, если шелл-код не запутан, правила для полезной нагрузки шелл-кода.
эSliver также использует объектные файлы Beacon (Beacon Object Files, BFO), NET-приложения и другие сторонние инструменты для внедрения команд. Фреймворк также использует PsExect для запуска команд, обеспечивающих боковое перемещение.
Чтобы организациям было проще идентифицировать активность Sliver в своей среде, Microsoft создала набор поисковых запросов для команд Sliver, которые можно запускать на портале Microsoft 365 Defender .
Наборы правил обнаружения и руководство по поиску предназначены для общедоступной кодовой базы Sliver.
