本文分享自天翼云开发者社区《如何检测 Sliver C2 框架活动》，作者：Icecream

Sliver是一个开源的跨平台对手模拟/红队框架，为渗透测试目的而开发，但与其他类似软件如Cobalt Strike一样，也被网络犯罪分子用于恶意活动。由于其多功能性和灵活性，它在网络犯罪团伙中越来越受欢迎。

特点

动态代码生成编译时混淆多人模式分阶段和无阶段的有效载荷通过HTTP(S)程序性地生成C2DNS金丝雀蓝队检测通过mTLS、WireGuard、HTTP(S)和DNS的安全C2可使用JavaScript/TypeScript或Python完全编写脚本Windows进程迁移、进程注入、用户令牌操作等。Let's Encrypt集成内存中的.NET程序集执行COFF/BOF内存加载器TCP和命名的管道支点

有一些团体已知正在使用Sliver框架，包括高级持续性威胁（APT）团体和勒索软件团伙。这些团体使用Sliver来发动高度复杂的攻击，如Ryuk勒索软件攻击和SolarWinds供应链攻击。

为了检测Sliver相关活动，企业必须实施多层次的安全方法，其中应包括使用端点检测和响应（EDR)工具、网络流量分析和文件系统监控。接下来介绍三种检测Sliver的主要方法：

网络流量分析

这种方法涉及监控网络流量，以检测Sliver的流量模式和特征。例如，Sliver的C2流量使用自定义加密算法进行加密，这可以通过监测网络流量来检测。此外，企业可以监测C&C流量使用的特定IP地址、域名和端口。一个例子是以下Yara规则

rule sliver_client : c2 implant{
	meta:
		description = "Bishop Fox's Sliver C2 Implant"
		author = "Daniel Roberson"
		url = "https://xxxx/sliver/sliver"

	strings:
		$s1 = "xxxx/sliver/client"

	condition:
		all of them and filesize < 50MB}rule sliver_server : c2{
	meta:
		description = "Bishop Fox's Sliver C2 Server"
		author = "Daniel Roberson"
		url = "https://xxxx/sliver"

	strings:
		$s1 = "RunSliver"

	condition:
		all of them and filesize > 50MB}

文件系统监控

这种方法涉及监控文件系统中与Sliver的可执行文件有关的破坏指标（IoCs）。

企业可以通过监测这些文件以及特定系统文件的变化（如Windows注册表）来检测Sliver C2的存在。

妥协指标（IoC）的更新列表，例如Malware Bazaar提供的以下列表，对这种方法可能很有用。

端点检测和响应 (EDR) 工具

EDR工具旨在检测和应对端点上的威胁，并可以通过监测特定的行为来检测Sliver活动，如执行恶意文件或使用特定的网络连接。

例如，检测到以下的网络连接

*博客内容为网友个人发布，仅代表博主个人观点，如有侵权请联系工作人员删除。