Sliver Tookit という最新/最強の攻撃ツール:Cobalt Strike は過去の遺物に?

Hackers adopt Sliver toolkit as a Cobalt Strike alternative

2022/08/25 BleepingComputer — 脅威アクターたちの好みが、正規のペンテスト・スイートである Cobalt Strike から、あまり知られていない類似のフレームワークを使う方向へと変化している。Brute Ratel (Red Teaming Tool) のに続くものとして、Sliver と呼ばれるオープンソースのクロスプラットフォーム・キットが、魅力的な代替品になりつつありる。さらに、Sliver を悪用するアクティビティは、ツールキット/動作/コンポーネントなどの分析から導き出された、ハンティング・クエリから検出されている。

Cobalt Strike からの移行

これまでの数年間にわたり、Cobalt Strike は、ランサムウェア・オペレーターなどの脅威アクターが、侵害したネットワークにビーコンを投下する攻撃ツールとして人気を博してきた。それにより、脅威アクターたちは、より価値の高いシステムへと向けた、横展開を可能にしてきた。

防衛側の学習により、このツールキットに依存する攻撃が検知/阻止され始めたことで、ハッカー側は別の選択肢を用いて、エンドポイント検知/応答 (EDR:Endpoint Detection and Response) や、アンチウイルス・ソリューションを回避しようとしている。

そして、Cobalt Strike に対する強力な防御力に直面したことで、脅威アクターは代替策を見出している。Palo Alto Networks は、このような方向性を持つ脅威アクターたちが、セキュリティ製品を回避するために設計された、敵対的攻撃シミュレーション・ツール Brute Ratel に乗り換えたことを確認している。

Microsoft のレポートによると、国家に支援されたグループからサイバー犯罪集団に至るまで、セキュリティテスト・ツール Sliver を攻撃に使用することが多くなっているとのことだ。この Sliver は Go ベースのツールであり、サイバーセキュリティ企業 BishopFox の研究者により開発されている。

Microsoft は、「我々は、Sliver の command-and-control (C2) フレームワークが、国家に支援された脅威アクターや、ランサムウェアを支援するサイバー犯罪グループなどにより、検出を回避するために侵入キャンペーンに採用され始め、統合されていることを確認している」と述べている。

Sliver を採用する、あるグループとして、Microsoft が追跡する DEV-0237 がある。この、FIN12 としても知られるグループは、さまざまなランサムウェア・オペレーターたちと協力関係にある。

このギャングは、さまざまなランサムウェア・オペレーター (Ryuk/Conti/Hive/BlackCat) などのために、BazarLoader/TrickBot などの各種マルウェアを介して、ランサムウェアペイロードを配布してきたという経歴を持っている。

様々なランサムウェアのペイロードを展開する FIN12
source: Microsoft

英国の政府通信本部 (GCHQ) のレポートによると、ロシアの国家支援攻撃者 (別名:Cozy Bear/The Dukes/Grizzly Steppe) たちも、Sliver を使用することで侵害した環境へのアクセスを維持しているようだ。

最近の Conti シンジケートに関連付けられる攻撃 において、 BazarLoader の代替として Bumblebee (Coldtrain) マルウェア・ローダーが使用され、Sliver が展開されていると、Microsoft は指摘している。

Sliver-based アクティビティのハンティング

Sliver フレームワークは新たな脅威ではあるが、それにより引き起こされる悪意のアクティビティなどを検出する方法はある。Microsoft は防御側に対して、 Sliver などの新たな C2 フレームワークを識別するための、一連の TTP (tactics, techniques, and procedures) を提供している。

Sliver C2 ネットワークは、複数のプロトコル (DNS/HTTP/TLS/MTLS/TCP) をサポートし、インプラント/オペレーター接続を受け入れ、正規の Web サーバーを模倣してファイルをホストできる。そのため、脅威ハンターはリスナーをセットアップして、Sliver インフラのネットワーク上の異常を識別することが可能になる。

Microsoft は、「固有の HTTP ヘッダーの組み合わせや JARM ハッシュがあり、後者は TLS サーバーのアクティブ・フィンガープリント技術 [methodology for Sliver and Bumblebee from RiskIQ] である」と述べている。また、この C2 フレームワークの公式コードベース (非カスタマイズ) を用いて生成された、 Sliver ペイロード (シェルコード/実行ファイル/共有ライブラリ/DLL/サービス) を検出する方法についても、Microsoft は情報を公開している。

したがって検出エンジニアたちは、Bumblebee などのローダー固有の検出機能、または、シェルコードが難読化されていない場合において、ローダーに埋め込まれたシェルコード・ペイロードのためのルールを作成できる。

Microsoft は、コンテキストが不足している Sliver マルウェア・ペイロードについては、メモリに読み込まれるときに、コンフィグレーションを抽出することを推奨している。なぜなら、このフレームワークが機能するためには、そのときに難読化を解除し、復号化する必要があるからだ。つまり、研究者たちは、メモリをスキャンすることで、コンフィグレーション・データなどの詳細を抽出できる可能性を持てる。

Sliver テスト・インプラントからのコンフィギュレーション抽出
source: Microsoft

脅威アクターたちは、プロセス・インジェクションに使用するコマンドも手に入れられる。この機能は、デフォルトの Sliver コードの、一般的な実装から実現できる。そのために使用できるコマンドとして、以下のようなものがある。

  • migrate (コマンド) – リモート・プロセスに移行する。
  • spawndll (コマンド) – リモート・プロセスで、反射型 DLL をロード/実行する。
  • sideload (コマンド) – リモート・プロセスで、共有オブジェクト (共有ライブラリ/DLL) をロード/実行する。
  • msf-inject (コマンド) – Metasploit Framework ペイロードをプロセスにインジェクトする。
  • execute-assembly (コマンド) – 子プロセスで .NET アセンブリをロード/実行する。
  • getsystem (コマンド) – NT AUTHORITYSYSTEM ユーザーとして、新しい Sliver セッションを生成する。

このツールキットが、コマンド・インジェクションのための拡張機能やエイリアス (BOF : Beacon Object Files (BFOs)/.NETアプリ/サードパーティ・ツール) も利用する点に、Microsoft は注目している。また、このフレームワークは、PsExect を使用してコマンドを実行することで、横方向の動きを可能にしている。

Microsoft は、Defender で保護されている企業が、自社の環境内で Sliver アクティビティを特定しやすくするために、前述のコマンドを捕捉するハンティング・クエリのセットを、Microsoft 365 Defender ポータルで実行可能なかたちで提供している。

同社は、提供されている検出ルールセットとハンティング・ガイダンスは、現時点で公開されている Sliver コードベース用であることを強調している。カスタマイズされた亜種を使用すると、Microsoft のクエリに基づく検出に影響を与える可能性があるとのことだ。

8月18日の「Winnti ハッキング・グループの戦略:Cobalt Strike を 154 分割して検出を回避」を読んでみて、厄介なものが出てきたと思っていたら、もう、すでに、Cobalt Strike に見切りをつけて、Sliver へと移行する動きが出ているようです。Microsoft が、Defender での対応を表明するということは、無視できない存在だということなのでしょう。また、現時点では、見落としていましたが、Brute Ratel も気になります。なお、文中の FIN12 ですが、ブログ内を検索したら、2021年10月7日に「FIN12 ランサムウェアは医療機関を狙う:時間をかけない素早い侵害が特徴」という記事がありました。よろしければ、Cobalt Strike で検索も、ご利用ください。

%d bloggers like this: