shadowrocket csdn

小火箭5个月前苹果IOS小火箭93

全网最佳IP代理服务商- 9.9元开通-稳定的代理服务
如果您从事外贸、海外视频博主、海外推广、海外广告投放,欢迎选择我们。
让您轻易使用国外主流的聊天软件、视频网站以及社交网络等等

  威胁者正在抛弃Cobalt Strike渗透测试套件,而选择不太知名的类似的框架。在Brute Ratel之后,一个名为Sliver的开源的、跨平台的工具包成为了一个很有吸引力的替代方案。

  然而,使用Sliver的恶意攻击活动可以通过分析该工具包、了解其工作方式及分析其组件来对攻击流量进行很好的检测。

  在过去的几年里,Cobalt Strike作为各种威胁者(包括勒索软件攻击)的攻击工具,通过在被破坏的网络上投放 信标,并且允许攻击者横向移动到具有高价值的系统内,该工具已经越来越受欢迎。

  由于防御者已经学会了检测和阻止使用这种工具包的网络攻击,黑客们正在尝试其他的可以逃避端点检测和响应(EDR)以及防病毒解决方案的攻击。

  面对用户做的针对Cobalt Strike的强大的防御措施,威胁者目前已经找到了替代方案。Palo Alto Networks观察到他们转而使用了Brute Ratel,这是一种对抗性攻击模拟工具,其可以很好的躲避安全产品。

  微软在一份报告中指出,从国家支持的团体再到网络犯罪团伙shadowrocket csdn,黑客在攻击中越来越多地使用了由BishopFox网络安全公司研究人员开发的Sliver安全测试工具。

  微软观察到Sliver指挥和控制(C2)框架现在已经被民族国家威胁攻击者、直接使用勒索软件的网络犯罪团伙以及其他威胁行为者采用并整合到了入侵活动中,这样可以很好的逃避安全软件的检测。

  其中一个采用Sliver的黑客团体被微软追踪为DEV-0237。该团伙也被称为FIN12,其与各种勒索软件运营商有密切联系。

  该团伙过去曾通过各种恶意软件(包括BazarLoader和TrickBot)分发各种勒索软件运营商(Ryuk、Conti、Hive、Conti和BlackCat)的勒索软件有效载荷。

  根据英国政府通信总部(GCHQ)的一份报告,俄罗斯的有国家背景的攻击者,特别是APT29(又名Cozy Bear、The Dukes、Grizzly Steppe)也曾经使用Sliver来维持对被攻击环境的访问权限。

  微软指出,Sliver目前已被部署在了最近的攻击中,它使用了Bumblebee(Coldtrain)恶意软件加载器,并且它也作为了Conti集团的BazarLoader软件的替代品。

  尽管这是一种新的攻击威胁,但还是会有一些方法可以检测由Sliver框架以及更隐蔽的威胁引起的恶意活动。

  微软提供了一套战术、技术和程序(TTPs),防御者可以用来识别Sliver和其他新兴的C2框架。

  由于Sliver C2网络支持多种协议(DNS、HTTP/TLS、MTLS、TCP)并接受植入者与操作者的连接,而且可以托管文件来模仿合法的网络服务器,威胁猎手可以设置监听器来识别网络上Sliver基础设施的异常情况。

  RiskIQ的Sliver和Bumblebee具有明显的流量特征,其最常见的是一些独特的HTTP头组合和JARM散列,其实后者则是TLS服务器使用的主动指纹技术。

  微软还分享了关于如何检测Sliver有效载荷(shellcode、可执行文件、共享库/DLLs和服务)的相关信息,这些有效载荷是使用C2框架的官方、非定制的代码库生成的。

  检测工程师可以创建针对加载器的检测[如Bumblebee],或者,如果shellcode没有被混淆,则可以为嵌入加载器的shellcode有效载荷制定规则。

  对于没有太多上下文环境的Sliver恶意软件有效载荷,微软建议在它们被加载到内存时提取配置,因为框架必须对它们进行去混淆和解密才能使用它们。

  威胁猎手也可以寻找用于进程注入的命令,默认的Sliver代码在一般的情况下实现了这一点。其中用于此的命令有

  微软指出,该工具包还需要依赖扩展和别名(Beacon Object Files (BFOs), .NET应用程序和其他第三方工具)进行命令注入。

  为了使受Defender保护的企业更容易识别其环境中的Sliver的攻击活动,微软为上述命令创建了一套可以在Microsoft 365 Defender门户中运行的防御策略。

  微软强调,软件所提供的检测规则集是针对目前已经公开的Sliver代码库的。使用定制的变体可能会影响基于微软规则库的检测。

全网最佳IP代理服务商- 9.9元开通-稳定的代理服务
如果您从事外贸、海外视频博主、海外推广、海外广告投放,欢迎选择我们。
让您轻易使用国外主流的聊天软件、视频网站以及社交网络等等

标签: shadowrocket

相关文章

shadowrocket混淆模式

  12月23日上午,十四届全国人大常委会第十三次会议对反不正当竞争法修订草案进行了分组审议。   分组审议期间,委员们指出,反不正当竞争法是规范市场主体竞争行为的基础性...

shadowrocket的ssr怎么设置

  习近平回信勉励全国特岗教师代表:不断提高教书育人本领 努力培养出更多德智体美劳全面发展的社会主义建设者和接班人   张国清在出席2025年全国食品安全宣传周主场活动时...

shadowrocket scdxc

  IT之家查询公开资料获悉,“埃普西隆 S”是小型固体燃料火箭“埃普西隆”的改良版,全长约 27 米,太阳同步轨道发射能力超过 600 千克,近地轨道发射能力超 1.4 吨,卫星发射高度...

shadowrocket美区账号2020

shadowrocket美区账号2020

  12月2日苹果公布了 2021 年美国下载次数最多的免费和付费 iOS 应用和游戏排行榜,其中免费iPhone应用榜单排名第一的为TikTok,其次是YouTube、Instagram...

shadowrocket today

shadowrocket today

  有时我们打开谷歌的首页,会看到各种不同样子的logo图案。利用谷歌涂鸦来装扮谷歌logo已经成了公司的一项传统,由于科技的发展,谷歌涂鸦的样式也变得十分多元化。美国的科技媒体CNET为...

安卓shadowrocket安装包

安卓shadowrocket安装包

  双子的朋友们,五月是活力和机会并存的月份。守卫星水星在当月渐渐恢复顺行轨迹,思想灵敏度和沟通效率明显上涨。行星力量的交互作用为你们带来多重行业的发展契机,但需注意火星和土星产生的考验相...