СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.01.2025
#Dev#ИБ#Инфра

Sliver C2: Угрозы и методы обнаружения в киберпространстве

Sliver C2: Угрозы и методы обнаружения в киберпространстве

Изображение: intelinsights.substack.com

Платформа Sliver C2, разработанная в 2019 году, становится все более популярной среди злоумышленников, благодаря своим кроссплатформенным возможностям и открытому исходному коду. Написанная на языке Go, Sliver служит основным инструментом для создания инфраструктуры Command & Control (C2), позволяя хакерам устанавливать каналы связи через скомпрометированные имплантаты.

Ключевые характеристики платформы Sliver

Понимание характеристик и показателей, связанных с внедрением Sliver, крайне важно для аналитиков hacker intelligence, стремящихся выявить и смягчить риски. Основные особенности включают:

  • Порт 443: используется для связи по стандарту HTTPS C2, обеспечивая безопасный канал для передачи команд.
  • Порты 80 и 8080: альтернативные варианты обмена данными на основе HTTP.
  • Порт 8888: дополнительный HTTP-порт C2, увеличивающий возможную инфраструктуру для злоумышленников.
  • Порт 31337: порт по умолчанию для многопользовательского сервера, облегчая координацию компонентов C2.
  • Порт 1337: альтернативный прослушиватель для приема входящих подключений.
  • Порт 22: использован для доступа к скомпрометированному компьютеру через Secure Shell (SSH), что указывает на уязвимость.

Идентификация угроз

При поиске экземпляров Sliver C2 важно уметь различать вредоносные и законные варианты использования платформы. Хотя фреймворк может применяться для сбора данных и тестирования безопасности, злоумышленники часто используют его характеристики для осуществления вредоносных действий.

Для этого критически важно:

  • Различать безопасные и вредоносные IP-адреса, связанные с экземплярами Sliver.
  • Рассматривать идентифицированные IP-адреса как потенциальные индикаторы, а не как окончательные IOC.
  • Проводить всесторонний анализ ландшафта угроз и учитывать контекст использования.

Методы идентификации развертываний Sliver C2

Для эффективной идентификации Sliver C2 можно использовать следующие методы:

  • Поиск с помощью платформ, таких как Censys и Shodan, что позволяет фильтровать результаты по тегам и атрибутам, связанным с Sliver.
  • Сочетание автоматизированного поиска с ручным расследованием, чтобы выявить скрытые угрозы.

Тем не менее, важно учитывать потенциал ограничений автоматических подходов, которые могут не охватывать все случаи. Это подчеркивает важность комплексного и контекстуального анализа для повышения эффективности процессов обнаружения угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: