Actores de amenaza migran a Framework Sliver

Sliver es un framework de código libre escrito en Golang (GO) enfocado al red team, que permite la creación y administración de command and control que se ha presentado como una alternativa a los ya conocidos framework como Cobalt-Strike o Brutel Ratel, los cuales cuentan con membresías restringidas y elevados precios debido a la limitación comercial para la adquisición de ciberactores maliciosos, sin embargo Sliver rompe los esquemas ofreciéndose de forma gratuita,  multiplataforma y multiprotocolo lo que ha llevado a la migración de actores de amenazas hacia este framework debido a sus capacidades.

Sliver

Este framework ha sido observado por primera vez a fines de 2019, sin embargo, no es hasta 2020 que comienza a utilizarse masivamente, mientras que la mayoría de sus actividades y reportes provienen de su masificación durante primer semestre de 2022, donde se ha visto siendo utilizado por actores de amenaza de mayor envergadura para el despliegue de sus actividades debido a su licencia gratuita.

Si bien Sliver ya lleva algunos años disponible, ha permitido pasar desapercibido dado el amplio uso y revuelo mediático que mantienen otros framework como Cobalt Strike y Brutel Ratel, hacia donde se han dirigido los mayores esfuerzos para detección por tecnologías de seguridad, por lo que esta brecha de cobertura ha sido detectada y explotada por actores maliciosos para evadir tecnologías de seguridad.

Capacidades

Entre las principales capacidades de Sliver se encuentra su característica multiplataforma capaz de ser utilizado en sistemas Linux, Windows y MacOS ampliando la superficie de ataque y sus protocolos de comunicación de command and control que pueden ser mediante dos modos de operación por Beacon o por Sesión.

El modo "beacon" implementa un estilo de comunicación asíncrono en el que el componente implantado en la víctima se conecta periódicamente con el servidor, recupera las tareas, las ejecuta y devuelve los resultados, mientras que en el "modo de sesión", el implante creará una sesión interactiva en tiempo real utilizando una conexión persistente o un sondeo, dependiendo del protocolo C2 con que ha decidido implementar (DNS, HTTP/TLS, MTLS, TCP).

Por otra parte, con la inyección de código, los atacantes no tienen que utilizar procesos del sistema personalizados que puedan ser detectados rápidamente ni trabajar en tareas de ofuscación para pasar desapercibidos, en su lugar el framework ofrece capacidades para insertar código malicioso en procesos existentes y de confianza como explorer.exe, regsvr32.exe, svchost.exe u otros, lo que brinda mayor sigilo y persistencia.

Entre algunos de los comandos soportados para la interacción con los equipos víctima, se destacan:

• migrate: migrar a un proceso remoto
• spawndll:cargar y ejecutar una DLL reflexiva en un proceso remoto
• sideload: cargar y ejecutar un objeto compartido (biblioteca compartida/DLL) en un proceso remoto
• msf-inject: inyectar una carga útil de Metasploit Framework en un proceso
• execute-assembly: carga y ejecuta un ensamblaje .NET en un proceso hijo
• getsystem: crea una nueva sesión de Sliver como el usuario NT AUTHORITY\SYSTEM

TTP´s Mitre

Para la visualización completa de las tácticas técnicas y procedimientos de Sliver, se recomienda visitar el siguiente enlace:

• https://attack.mitre.org/software/S0633

Detección

Entre las amenazas que se han encontrado vinculadas Sliver, es posible mencionar a malware Bumblebee TrickBot y BazarLoader, usados activamente por actores como APT-29 y DEV-0237, quienes se han identificado detrás de ransomware Conti, Ryuk, Hive y BlackCat, quienes han demostrado gran experiencia y madurez en sus operaciones.

Por otra parte, de acuerdo con el análisis de diferentes fuentes, se han identificado un total de aproximadamente 140 muestras de SLIVER en Q1 2022 comparado con cerca de 4.000 variantes de Cobalt Strike en el mismo periodo de tiempo.

Además, mediante querys de Shodan, es posible detectar 196 servidores C2 alrededor del mundo, principalmente alojados en Estados Unidos y Alemania, sin detecciones en LATAM.

Mapa de calor con actividad de servidores C2 en el mundo detectado por Shodan

Dentro de las detecciones de este framework por tecnologías de seguridad, Microsoft ha publicado una serie de firmas de Microsoft Defender que detectan su actividad.

• Trojan:Linux/Sliver.A
• Trojan:Win64/Sliver.D
• TrojanDownloader:PowerShell/Splinter.A
• Behavior:Win32/Splinter.A
• VirTool:Win32/SPLINTER.A
• VirTool:Win64/Splinter.A

Apreciación 

Tal como ha sucedido con otros framework de red team, solo es cuestión de tiempo para la masificación de su uso, el cual debido a que corresponde a una versión gratuita probablemente ocurra con mayor velocidad que sus pares, los cuales han tardado más en masificarse debido a que para su uso maliciosos se deben crackear las nuevas versiones de pago disponibles, por tanto han generado numerosos tópicos en foros underground donde estos framework son comercializados debido a lo apreciado que resulta para atacantes en la puesta en marcha o renovación de sus operaciones con más y mejores capacidades.

Ante esto, ya existen actores de amenazas avanzados que utilizan Sliver lo que infiere que sus capacidades satisfacen sus elevadas necesidades y expectativas, por lo que es cuestión de tiempo para que se comiencen a detectar otros grupos que lo utilicen, ya sea en su versión original o modificada a sus necesidades.

Por otra parte, el surgimiento de este tipo de framework, abre las puertas para una mayor competencia entre desarrolladores, generando involuntariamente la propagación de estas herramientas y el acceso a ellas por nuevos actores, que propician un panorama de amenazas más amplio, en donde actores menos experimentados o con menos recursos podrían gatillar nuevas operaciones ya sea preparadas u oportunistas.

Boletines que te podrian interesar:

• Brute Ratel la nueva herramienta de red team
• Herramientas y frameworks a disposición de ciberdelincuentes
• StrelaStealer, nueva familia de InfoStealer

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.