Hacktu Magazine Le magazine de la cybersécurité
Les experts du groupe Cybereason ont indiqué l’usage croissant d’un nouveau framework post-exploitation créé par la société de cybersécurité Bishop Fox et dénommé Sliver C2. Les infrastructures C2 ou de commande et contrôle (C&C) sont utilisées par les professionnels de la sécurité (red team et pentesters) pour contrôler à distance les machines compromises lors des évaluations de sécurité. Ils sont également exploités par les cybercriminels dans le cadre de leurs campagnes et cyberattaques.
S’il est indiscutable que les framework Cobalt Strike et Metasploit sont restés depuis de nombreuses années les outils clés utilisés pour la post-exploitation dans le cadre des missions d’évaluation de la sécurité des SI, que ce soit par des hackers éthiques ou des cybercriminels. De de fait, les outils de défense ont appris à détecter et à arrêter les attaques réalisées à partir des outils, en se basant sur les données liées à leur fonctionnement et aux modèles d’intelligences des EDR, XDR, etc. Afin d’éviter la détection d’ EDR et de diverses solutions antivirus, les pirates ont dû essayer d’autres options.
Il n’a pas fallu longtemps pour observer un regain d’intérêt pour d’autres plateformes ou cadre open-source, dont notamment le très en vogue Sliver, qui est apparu après Brute Ratel. En effet, les équipes blue team observent déjà une recrudescence de l’usage de ce framework dans des campagnes APT. Au début, les attaquants sont passés à Brute Ratel, un outil qui simule les attaquants pour échapper aux produits de sécurité, comme alternative à Cobalt Strike , mais les progrès dans le développement de telles solutions ont incité à passer à Sliver.
Microsoft a déjà suivi l’adoption de Sliver comme outil d’attaque par le groupe de hackers DEV-0237 ou FIN12, ainsi que par plusieurs autres opérateurs de rançongiciels impliqués dans les activités du gang, tels que BazarLoader et TrickBot. Même si l’infrastructure Sliver est considérée comme une nouvelle menace, il existe des moyens de détecter les activités malveillantes. Pour identifier Sliver, Microsoft fournit aux défenseurs un ensemble de TTP qui peuvent être utilisés pour les identifier.
Par exemple, la base de code C2 non configurée, qui contient le code officiel et non modifié pour détecter les charges utiles Sliver, aidera à détecter ces mêmes charges utiles. Il existe également des commandes qui peuvent être utilisées pour injecter des processus lors de la recherche de menaces, telles que : migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.
Le manuel et l’ensemble des règles de détection et de guidage peuvent être trouvés dans le domaine public. Dans le cas d’une version personnalisée de Sliver, hélas, les choses sont plus compliquées, mais Microsoft et d’autres dans le domaine travaillent activement à trouver des solutions.
Les experts de Cybereason estiment que le logiciel est utilisé comme deuxième étape pour effectuer les étapes suivantes de la chaîne d’attaques après que l’ordinateur a déjà été compromis à l’aide de l’un des vecteurs d’intrusion d’origine – le spear phishing ou les vulnérabilités non corrigées. La séquence d’attaque présumée détaillée par la société israélienne montre que Sliver peut être utilisé pour une escalade de privilèges suivie d’un vol d’informations d’identification et d’un mouvement latéral pour finalement prendre le contrôle d’un contrôleur de domaine afin de voler des données sensibles.
Selon les chercheurs, le Sliver a déjà été utilisé comme arme par des groupes aussi connus que APT29 (Cozy Bear), Shathak (TA551) et Exotic Lily (Projector Libra), ce dernier étant attribué à l’outil malveillant Bumblebee. Cependant, Sliver est loin d’être la seule plate-forme open source pouvant être utilisée à des fins malveillantes.
Qualys a révélé comment plusieurs groupes de hackers, dont Turla, Vice Society et Wizard Spider, ont utilisé Empire pour post-exploiter et étendre leur position dans l’environnement des victimes.
