ペネトレーションテストとセキュリティ監査のビジネスは巨大で、ペネトレーションテスターを支援する様々なツールが市場に出回っており、中には無料で入手できるものも存在します。MetasploitやCobalt Strikeといった攻撃的なセキュリティフレームワークは、非常に人気が高まっています。レッドチームだけでなく、国家主導の脅威アクターも広く利用しています。
これらのフレームワークの中で、Sliver は 2019 年に GitHub で入手可能なオープンソース フレームワークとして登場し、セキュリティ専門家向けに宣伝されました。
Sliver とは何ですか? また、何に使用されますか?
Sliver の作成者は、これを「C2 over Mutual TLS (mTLS)、WireGuard、HTTP(S)、および DNS をサポートし、バイナリごとに非対称暗号化キーを使用して動的にコンパイルされるオープンソースのクロスプラットフォームの敵対者エミュレーション/レッドチーム フレームワーク」と説明しています。
このフレームワークは Linux、MacOS、Microsoft Windows オペレーティング システムで使用できますが、フレームワーク全体は Go プログラミング言語 (Golang とも呼ばれます) で記述されており、Golang はクロスプラットフォーム互換性があるため、さまざまなシステムでコンパイルできます。
このようなフレームワークを使用する一般的なユースケースは、ターゲットを侵害し、侵害されたネットワークに属するさまざまなエンドポイントまたはサーバー内に 1 つまたは複数のインプラントを展開し、その後、コマンド アンド コントロール (C2) のやり取りにフレームワークを使用することです。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Sliverがサポートするネットワーク通信とインプラント
Sliver は、インプラントと C2 サーバー間の通信にいくつかの異なるネットワーク プロトコルをサポートしており、DNS、HTTP/TLS、MTLS、TCP が使用される可能性があります。
Sliver ユーザーは、シェルコード、実行可能ファイル、共有ライブラリ/DLL ファイル、サービスなど、さまざまな形式でクロスプラットフォーム インプラントを生成できます。
Sliverは、TCPおよびHTTP(S)経由のMeterpreterステージングプロトコルを介してステージャーを使用する機能も提供します。ステージャーは、主に大規模なインプラントを取得して起動するための機能を備えた、より小さなペイロードです。ステージャーは通常、攻撃者が初期ペイロードとして使用する悪意のあるコードのサイズを最小限に抑えたい攻撃の初期段階で使用されます。
Microsoftは最近のレポートで、攻撃者は必ずしもSliverのデフォルトのDLLや実行可能ペイロードを使用する必要はないと述べています。意欲的な攻撃者は、Sliverが生成したシェルコードをBumblebeeなどのカスタムローダーに埋め込み、侵害したシステム上でSliverインプラントを実行する可能性があります。
Sliverインプラントは難読化が可能で、検出が困難になります。また、たとえ検出されたとしても、難読化によって防御側の分析時間が大幅に増加する可能性があります。Sliverは、Githubで公開されているgobfuscateライブラリを利用しています。Microsoftの研究者によると、このライブラリで難読化されたコードの難読化解除は「依然としてかなり手作業が多い」ため、自動化はほぼ不可能です。
このようなインプラントから重要な情報を取得する効果的な方法は、メモリ内で難読化が解除されたらその構成を分析することです。
Sliverは、コード実行のための様々な手法も提供しています。多くのフレームワークで最も一般的な手法の一つは、別の実行プロセスのアドレス空間にコードを挿入することです。これにより、攻撃者は検出を回避し、場合によってはより高い権限を取得するなど、様々なメリットを得ることができます。
Sliver はラテラルムーブメント(横方向の移動)も実行できます。ラテラルムーブメントとは、侵害を受けた同じネットワーク内の複数のコンピュータでコードを実行することです。Sliver は正規の PsExec コマンドを使用してこれを実行しますが、これはエンドポイントセキュリティソリューションで頻繁にアラートを発生させます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
野生でのスライバーの使用
Microsoft のセキュリティ専門家は、APT29/Cozy Bear などの国家主導のサイバースパイ活動を行う脅威アクターやランサムウェア グループ、その他の金銭目的の脅威アクターの両方が実行する侵入キャンペーンで、Sliver フレームワークが積極的に使用されていることを確認したと述べています。
Team Cymru は、2022 年の第 1 四半期に検出された Sliver サンプルが着実に増加していることを確認し、いくつかのケース スタディを共有しました。
Sliverは、別のペネトレーションテストフレームワークであるCobalt Strikeの代替として使用されることもあります。また、Cobalt Strikeと併用されることもあります。
ここ数年、Cobalt Strikeは脅威アクターによる利用が増加し、その人気により防御の効率化が進んでいます。この検出率の向上により、Sliverのようなあまり知られていないフレームワークを利用する脅威アクターが増えることが予想されます。
スライバー検出と保護
Microsoftは、Microsoft 365 Defenderポータル内で実行できるクエリを公開しています。このクエリは、本稿執筆時点で利用可能な、カスタマイズされていない公式のSliverコードベースを検出するためのものです。また、MicrosoftはJARMハッシュも公開しています。JARMは、アクティブなトランスポート層セキュリティ(TLS)サーバーフィンガープリンティングツールです。
英国国立サイバーセキュリティセンターも、Sliverを検出するためのYARAルールを公開しました。これらのルールはすべてSliverの検出に役立つ可能性がありますが、攻撃者が開発する可能性のあるツールの将来のバージョンや改変版では機能しない可能性があります。企業ネットワークでは、エンドポイントやサーバーでこれらの特定の侵害指標(IOC)をチェックする機能を備えたセキュリティソリューションを使用して、これらの項目を常に監視する必要があります。
インターネットに接続するあらゆるシステムやサービス、特にRDPやVPN接続には、多要素認証(MFA)を導入する必要があります。また、ユーザー権限も制限し、管理者権限は本当に必要とする従業員にのみ付与する必要があります。
Sliver の使用を可能にする一般的な脆弱性による侵害を回避するために、すべてのシステムを最新の状態に保ち、パッチを適用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
