L’outil de sécurité offensif utilisé par les testeurs d’intrusion est également utilisé par les acteurs de la menace des sphères des ransomwares et du cyberespionnage.
Le marché des tests d’intrusion et des audits de sécurité est énorme, et de nombreux outils différents sont disponibles sur le marché, voire gratuitement, pour aider les testeurs d’intrusion. Certains de ces cadres de sécurité offensifs sont devenus très populaires, tels que Metasploit ou Frappe de cobalt. Ils sont largement utilisés par équipes rouges mais aussi par des acteurs de la menace, y compris ceux parrainés par des États-nations.
Parmi ces frameworks, Sliver est apparu en 2019 en tant que framework open-source disponible sur Github et annoncés aux professionnels de la sécurité.
Qu’est-ce que Sliver et à quoi sert-il ?
Les créateurs de Sliver le décrivent comme “un cadre d’émulation d’adversaire multiplateforme open source/d’équipe rouge” qui prend en charge “C2 sur Mutual TLS (mTLS), WireGuard, HTTP (S) et DNS et sont compilés dynamiquement avec des clés de chiffrement asymétriques par binaire .”
Le framework est disponible pour les systèmes d’exploitation Linux, MacOS et Microsoft Windows et peut-être plus, car l’ensemble du framework est écrit en langage de programmation Go (également connu sous le nom de Golang), qui peut être compilé sur de nombreux systèmes différents car Golang est compatible multiplateforme.
Le cas d’utilisation typique d’un tel framework consiste à compromettre une cible, à déployer un ou plusieurs implants à l’intérieur de différents terminaux ou serveurs appartenant au réseau compromis, puis à utiliser le framework pour les interactions de commande et de contrôle (C2).
VOIR: Politique de sécurité des appareils mobiles (TechRepublic Premium)
Communications réseau et implants pris en charge par Sliver
Sliver prend en charge plusieurs protocoles réseau différents pour communiquer entre l’implant et son serveur C2 : DNS, HTTP/TLS, MTLS et TCP peuvent être utilisés.
Les utilisateurs de Sliver peuvent générer des implants multiplateformes dans plusieurs formats, y compris le shellcode, le fichier exécutable, la bibliothèque partagée/le fichier DLL ou le service.
Sliver offre également la possibilité d’utiliser des intermédiaires via le protocole de staging meterpreter sur TCP et HTTP(S). Les Stagers sont des charges utiles plus petites avec des fonctionnalités principalement conçues pour récupérer et lancer des implants plus gros. Les stagers sont généralement utilisés dans la première phase d’une attaque, lorsque l’attaquant souhaite minimiser la taille du code malveillant à utiliser comme charge utile initiale.
Microsoft a déclaré dans un récent rapport que les attaquants n’ont pas nécessairement besoin d’utiliser la DLL par défaut ou les charges utiles exécutables de Sliver. Les attaquants motivés peuvent utiliser un shellcode généré par Sliver qu’ils intégreront dans des chargeurs personnalisés tels que Bumblebee, qui exécutera ensuite l’implant Sliver sur le système compromis.
Les implants en ruban peuvent être obscurcis, ce qui rend leur détection plus difficile. De plus, même détecté, l’obscurcissement peut augmenter considérablement le temps d’analyse pour les défenseurs. Sliver utilise le obscurcir bibliothèque, accessible au public sur Github. Comme l’ont déclaré les chercheurs de Microsoft, le code de désobscurcissement qui a été obscurci avec cette bibliothèque est “encore un processus assez manuel” qui peut difficilement être automatisé.
Un moyen efficace d’obtenir des informations critiques à partir d’un tel implant est d’analyser sa configuration une fois qu’il est désobscurci en mémoire.
Sliver fournit également différentes techniques pour exécuter du code. L’un des plus couramment utilisés par de nombreux frameworks consiste à injecter du code dans l’espace d’adressage d’un processus en direct distinct. Cela permet aux attaquants d’échapper à la détection et parfois d’obtenir des privilèges plus élevés, entre autres avantages.
Les mouvements latéraux peuvent également être effectués à l’aide de Sliver. Les mouvements latéraux consistent à exécuter du code sur différents ordinateurs d’un même réseau compromis. Sliver le fait en utilisant le légitime PsExec commande, qui génère pourtant souvent plusieurs alertes dans les solutions de sécurité des terminaux.
VOIR: Violation de mot de passe : pourquoi la culture pop et les mots de passe ne font pas bon ménage (PDF gratuit) (TechRepublic)
Utilisation de Sliver dans la nature
Les experts en sécurité de Microsoft indiquent qu’ils ont observé que le framework Sliver était utilisé activement dans les campagnes d’intrusion menées à la fois par le cyberespionnage acteurs de la menace étatique comme APT29/Cosy Bear et groupes de rançongicielsen plus d’autres acteurs menaçants à vocation financière.
Équipe du Pays de Galles observé une augmentation constante des échantillons de Sliver détectés au cours du premier trimestre de 2022 et a partagé quelques études de cas.
Sliver a parfois été vu en remplacement de Cobalt Strike, un autre framework de test de pénétration. Parfois, il a également été utilisé en conjonction avec Cobalt Strike.
La popularité et l’augmentation de l’utilisation de Cobalt Strike par les acteurs de la menace au cours des dernières années ont rendu la défense contre celle-ci plus efficace. Cette augmentation de la détection poussera probablement davantage d’acteurs malveillants à utiliser des frameworks moins connus tels que Sliver.
Détection de ruban et protection contre celui-ci
Actions Microsoft requêtes qui peut être exécuté dans le portail Microsoft 365 Defender pour détecter les bases de code Sliver officielles non personnalisées disponibles au moment de la rédaction. Microsoft aussi partagé hachages JARM, JARM étant un outil d’empreinte digitale de serveur TLS (Transport Layer Security) actif.
Le National Cyber Security Center du Royaume-Uni a également partagé Règles YARA pour détecter Sliver. Tous ces éléments pourraient être utiles pour détecter Sliver, mais pourraient échouer avec les futures versions ou les versions modifiées de l’outil que les attaquants pourraient développer. Tous ces éléments doivent être recherchés en permanence via des solutions de sécurité dans les réseaux d’entreprise qui ont la capacité de vérifier les terminaux et les serveurs pour ces indicateurs de compromission (IOC) spécifiques.
L’authentification multifacteur (MFA) doit être déployée sur tout système ou service accessible sur Internet, en particulier pour les connexions RDP ou VPN. Les privilèges des utilisateurs doivent également être limités et les privilèges administratifs ne doivent être accordés qu’aux employés qui en ont vraiment besoin.
Tous les systèmes doivent être tenus à jour et corrigés, pour éviter d’être compromis par une vulnérabilité commune qui rendrait possible l’utilisation de Sliver.
Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.
