检测 Sliver 框架横向平移的机会
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Sliver 框架是 Golang 编写的开源框架,支持控制失陷主机的所有基本功能,攻击者可以使用 https 和 generate 命令配置 HTTPS 通信,并使用 use 命令进行横向平移,攻击者可以使用 info 命令检测恶意软件的运行,Sliver 还支持多种方式使用第三方组件进行横向平移,已经成为仅次于 Cobalt Strike 和 Metasploit 的第三大 C&C 框架。Sliver 因其开源、发布频率快与有效且不冗余的代码而蹿红。
🎯
关键要点
-
Sliver 框架是用 Golang 编写的开源框架,支持控制失陷主机的基本功能。
-
攻击者可以使用 https 和 generate 命令配置 HTTPS 通信。
-
使用 use 命令进行横向平移,info 命令检测恶意软件的运行。
-
Sliver 支持多种方式使用第三方组件进行横向平移,成为第三大 C&C 框架。
-
恶意软件需要在失陷主机上运行,并在后端攻击基础设施进行监听。
-
配置 HTTPS 通信只需两个命令,启动 Web 服务器并生成恶意软件。
-
横向平移分为三个步骤:复制恶意软件、创建系统服务、启动执行。
-
psexec 命令用于执行服务植入,连接到 C&C 服务器的 HTTPS 监听端口。
-
尽管使用 SSL,C&C 通信协议的指纹识别并不总是有效,横向平移更易检测。
-
Sliver 随机生成文件名,服务名称和目标目录可配置,默认服务名称为 Sliver。
-
Sliver 支持多种第三方组件进行横向平移,需定制检测技术。
-
Sliver 的成功归因于开源、发布频率快和有效的代码。
➡️
