%20to%20Evade%20Detection.png?w=696&ssl=1 "Tehdit Aktörleri Sliver'a Taşınıyor")
Tehdit aktörlerinin daha az aşina olduğu benzer çerçeveler lehine, tehdit aktörleri Kobalt Saldırısı sızma testinden vazgeçiyor. Son zamanlarda, Brute Ratel’den sonra ortaya çıkan Sliver adlı açık kaynaklı, çapraz platformlu bir kite ilgi arttı.
Araç setini, çalışmasını ve bileşenlerini analiz ederek, Sliver’ı içeren kötü amaçlı etkinliği tespit etmek için arama sorguları kullanılabilir. Bir dizi ulus devlet tehdit aktörü, Sliver C2 çerçevesini izinsiz giriş kampanyalarına benimsiyor ve entegre ediyor.
Kobalt Grevinden Göç
Çeşitli tehdit aktörlerinin çeşitli sistemlere karşı bir saldırı aracı olarak Kobalt Strike kullanması son yıllarda giderek daha popüler hale geldi.
Bu araç setini kullanarak, savunmalar topladıkları bilgilere dayalı olarak saldırıları tespit etmeyi ve durdurmayı öğrenmiştir. Bunun nedeni, EDR ve antivirüs çözümlerinin algılamasını önlemektir, bu nedenle bilgisayar korsanları başka seçenekleri deniyor.
Tehdit aktörleri, ona karşı konuşlandırılan daha güçlü savunmaların bir sonucu olarak Kobalt Saldırısına alternatifler buldu. Güvenlik ürünlerinden kaçmak amacıyla düşmanca saldırıları simüle eden bir araç olan Brute Ratel’e geçtiler.
Microsoft, Sliver’ın bir grup tarafından DEV-0237 olarak benimsenmesini izler. FIN12 ve diğer birkaç fidye yazılımı operatörü çetenin faaliyetlerine karıştı.
Birkaç fidye yazılımı operatörü, geçmişte çeteden aşağıdakiler de dahil olmak üzere kötü amaçlı yazılım yükleri dağıttı:-
Tehdit Avcılığı
Sliver çerçevesi yeni bir tehdit olarak görülse de, ondan kaynaklanan kötü niyetli faaliyetleri ve hiçbir şekilde tespit edilemeyen daha gizli tehditleri tespit etmenin yolları vardır.
Sliver ve diğer ortaya çıkan C2 çerçevelerini tanımlamak için Microsoft, savunuculara onları tanımlamak için kullanılabilecek bir dizi TTP sağlar.
Microsoft ayrıca, Şerit yüklerini algılamak için resmi ve değiştirilmemiş kodu içeren, özelleştirilmemiş C2 kod tabanının, bu tür yükleri algılamak için yararlı olduğunu açıkladı.
Tehdit avcılarının arayabileceği proses enjeksiyonu için kullanılabilecek komutlar da vardır. Bu, aşağıdaki komutlar kullanılarak başarılabilir: –
- taşımak (komut) – uzak bir sürece geçiş yapın
- spawndll (komut) – uzak bir işlemde yansıtıcı bir DLL yükleyin ve çalıştırın
- yan yük (komut) – uzak bir işlemde paylaşılan bir nesneyi (paylaşılan kitaplık/DLL) yükleyin ve çalıştırın
- msf-inject (komut) – bir sürece bir Metasploit Framework yükü enjekte edin
- yürütme derlemesi (komut) – bir alt süreçte bir .NET derlemesi yükleyin ve çalıştırın
- getsystem (komut) – NT AUTHORITY\SYSTEM kullanıcısı olarak yeni bir Şerit oturumu oluştur
Şu anda tespit kuralı setleri ve avlanma kılavuzu herkese açıktır. Özelleştirilmiş varyantlar söz konusu olduğunda, Microsoft’un aramalarının özelleştirilmiş varyantların kullanımından etkilenme olasılığı vardır.