Go’da yazılmış açık kaynaklı bir araç olan Sliver Command & Control (C2) çerçevesi, 2020’de piyasaya sürülmesinden bu yana saldırgan güvenlik uygulayıcıları için popüler bir seçim olmuştur.
Bununla birlikte, algılama mekanizmaları geliştikçe, kutudan çıkmış şerit yükleri uç nokta tespit ve yanıt (EDR) çözümleri ile giderek daha fazla işaretlenir.
Son araştırmalar, çerçevenin kaynak kodunda küçük ama stratejik değişikliklerin, modern EDR sistemlerine karşı kaçınma yeteneklerini nasıl önemli ölçüde artırabileceğini göstermektedir.
Statik ve davranışsal imzaların üstesinden gelmek
Sliver’ın birincil zorluğu, büyük ikili boyutu (30 MB’a kadar) ve protokol arabellek dosyalarına gömülü statik imzalarda yatmakta ve YARA kuralları tarafından tespit edilmeye karşı savunmasız hale gelir.
Araştırmacılar, bu statik imzaları belirleyerek başladı, örneğin sliver.proto dosya ve bunları alternatif adlandırma kuralları ile değiştirin.
Örneğin, ScreenshotReq mesaj ScShotReq ve çerçevenin otomatik olarak üretilen dosyalarındaki değişikliklerin yayılması, birkaç statik tespiti ortadan kaldırmaya yardımcı oldu.
Ek olarak, davranışsal tespitler önemli bir engel oluşturmuştur.
Örneğin, Sliver’ın varsayılan kabuk kodu üretimi, Donut’un AMSI bypass’ına dayanıyordu, bu da yoğun bir şekilde imzalandı.
Araştırmacılar, bu bypass’ı devre dışı bırakmak için kaynak kodunu değiştirerek ve yükleri belleğe haritaya haritalayan özel kabuk kodu yükleyicilerini tanıtarak çalışma zamanı boyunca algılamadan kaçınabildiler.
Gelişmiş algılama mekanizmalarıyla mücadele
Statik imzaları ele almasına rağmen, bazı çalışma zamanı davranışları elastik ajan gibi EDR sistemlerinde uyarıları tetikledi.
Böyle bir tespit, Sliver’ın Go’s kullanmasını içeriyordu. LazyDLL Windows API’sını çağıran tür LoadLibraryExW“Backed Hafızadan Yüklenen Ağ Kütüphanesi” için uyarılara neden olur.
Bunu azaltmak için araştırmacılar, modül stomping ve API kancası gibi teknikleri araştırdılar, ancak nihayetinde değiştirilmiş dışa aktarma işlevlerine sahip diske dinamik kütüphaneler yazmak gibi daha basit yöntemleri tercih ettiler.
Diğer iyileştirmeler, kullanılmayan dışa aktarılmamış işlevlerin kaldırılmasını ve aşağıdaki gibi anahtar yöntem çağrılarını yeniden adlandırmayı içerir GetJitter hafızadaki varlıklarını gizlemek.
Fortbridge’e göre, bu değişiklikler, kod tabanındaki sorunlu dizeleri sistematik olarak değiştiren komut dosyaları kullanılarak otomatikleştirildi ve derleme sırasında tutarlılık ve verimliliği sağladı.
Bu modifikasyonlar uygulandıktan sonra, özelleştirilmiş şerit yükleri birden fazla EDR çözümüne karşı titiz testlere tabi tutuldu.
Statik taramalar sıfır tespit gösterirken, Litterbox gibi sanal alan ortamları aracılığıyla dinamik analiz, çalışma zamanı uyarılarının başarılı bir şekilde kaçınıldığını doğruladı.
Rapora göre, nihai yükler, herhangi bir davranışsal tespiti tetiklemeden elastik ajan çalıştıran sistemler üzerinde geri arama oluşturarak etkinliklerini gösterdi.
Bu araştırma, gelişmiş kırmızı ekip operasyonları için Sliver gibi açık kaynaklı araçların uyarlanma potansiyelinin altını çizmektedir.
Küçük kod düzenlemeleri ve otomasyon komut dosyalarından yararlanarak, uygulayıcılar, özel çerçeveler sıfırdan inşa etmeye başvurmadan sofistike algılama mekanizmalarını bile atlayabilirler.
Bununla birlikte, her iki tarafta sürekli inovasyon ihtiyacını vurgulayarak saldırı takımları ve savunma teknolojileri arasında devam eden silah yarışını da vurgulamaktadır.
Bu bulgular kırmızı ekip operatörleri için değerli bilgiler sağlarken, savunucuların tespit stratejilerini statik imzaların ve öngörülebilir davranış kalıplarının ötesinde geliştirmeleri için bir hatırlatma görevi görürler.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin