如何检测 Sliver C2 框架活动

本文分享自天翼云开发者社区《如何检测 Sliver C2 框架活动》，作者：Icecream

Sliver是一个开源的跨平台对手模拟/红队框架，为渗透测试目的而开发，但与其他类似软件如Cobalt Strike一样，也被网络犯罪分子用于恶意活动。由于其多功能性和灵活性，它在网络犯罪团伙中越来越受欢迎。

特点

• 动态代码生成
• 编译时混淆
• 多人模式
• 分阶段和无阶段的有效载荷
• 通过HTTP(S)程序性地生成C2
• DNS金丝雀蓝队检测
• 通过mTLS、WireGuard、HTTP(S)和DNS的安全C2
• 可使用JavaScript/TypeScript或Python完全编写脚本
• Windows进程迁移、进程注入、用户令牌操作等。
• Let's Encrypt集成
• 内存中的.NET程序集执行
• COFF/BOF内存加载器
• TCP和命名的管道支点

有一些团体已知正在使用Sliver框架，包括高级持续性威胁（APT）团体和勒索软件团伙。这些团体使用Sliver来发动高度复杂的攻击，如Ryuk勒索软件攻击和SolarWinds供应链攻击。

为了检测Sliver相关活动，企业必须实施多层次的安全方法，其中应包括使用端点检测和响应（EDR)工具、网络流量分析和文件系统监控。接下来介绍三种检测Sliver的主要方法：
网络流量分析

这种方法涉及监控网络流量，以检测Sliver的流量模式和特征。例如，Sliver的C2流量使用自定义加密算法进行加密，这可以通过监测网络流量来检测。此外，企业可以监测C&C流量使用的特定IP地址、域名和端口。一个例子是以下Yara规则

rule sliver_client : c2 implant
{
    meta:
        description = "Bishop Fox's Sliver C2 Implant"
        author = "Daniel Roberson"
        url = "https://xxxx/sliver/sliver"

    strings:
        $s1 = "xxxx/sliver/client"

    condition:
        all of them and filesize < 50MB
}

rule sliver_server : c2
{
    meta:
        description = "Bishop Fox's Sliver C2 Server"
        author = "Daniel Roberson"
        url = "https://xxxx/sliver"

    strings:
        $s1 = "RunSliver"

    condition:
        all of them and filesize > 50MB
}

文件系统监控

这种方法涉及监控文件系统中与Sliver的可执行文件有关的破坏指标（IoCs）。

企业可以通过监测这些文件以及特定系统文件的变化（如Windows注册表）来检测Sliver C2的存在。

妥协指标（IoC）的更新列表，例如Malware Bazaar提供的以下列表，对这种方法可能很有用。

端点检测和响应 (EDR) 工具

EDR工具旨在检测和应对端点上的威胁，并可以通过监测特定的行为来检测Sliver活动，如执行恶意文件或使用特定的网络连接。

例如，检测到以下的网络连接