Sliver

¿Qué es?

Sliver es una herramienta legítima de hacking ofensivo (HackTool) y framework de mando y control (C2), que funciona con implantes o payloads de post-explotación para faciliar el acceso y control remoto a los sistemas comprometidos, su movimiento lateral, la exfiltración de información y el soporte a las operaciones posteriores de la intrusión. No se trata de un malware en sí mismo, pero los ciberdelincuentes la utilizan para llevar a cabo actividades maliciosas, por lo que, en detección y respuesta a incidentes, se suele tratar como malware que actúa, funcionalmente, como un backdoor.

¿Qué hace?

Esta herramienta tiene capacidad para realizar las siguientes acciones:

• Establece comunicaciones con los servidores de mando y control (C2) mediante cifrado sobre distintos canales/protocolos, como HTTP/HTTPS, DNS, mTLS y WireGuard, entre otros.
• Ejecuta comandos remotamente (incluida interacción tipo shell) y posee la capacidad de lanzar PowerShell en Windows.
• Transfiere ficheros (subida/bajada) y exfiltra información a través del propio canal de servidores de mando y control (C2).
• Permite la evasión y el escalado de privilegios, mediante técnicas como el bypass de UAC, la manipulación de tokens y la inyección/migración de procesos.
• Roba credenciales mediante el acceso al volcado de memoria de procesos como lsass.exe.
• Posee capacidades de reconocimiento (descubrimiento de ficheros, info de red, conexiones...).
• Habilita SOCKS5/internal proxy para tunelizar el tráfico a través de los equipos comprometidos y pivotar sobre ellos.
• Registra pulsaciones de teclado (keylogging) para capturar credenciales y demás información sensible.
• Captura las imágenes de pantalla para robar información sensible.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.
• Dispositivos con sistemas Linux.
• Dispositivos con sistemas macOS.

¿Cómo me infecta?

Los atacantes acceden a los dispositivos con esta herramienta a través de campañas de phishing con archivos adjuntos maliciosos, a través de descargas de sitios web comprometidos y a través de otros troyanos que actúan como droppers o loaders y descargan el implante.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos y accede a los cleaners para macOS.

Más información

• Campaña dirigida contra dispositivos FortiWeb mediante vulnerabilidades y uso de Sliver C2 (CSIRT Financiero)
• Trojan:Win64/Sliver.D (Microsoft)
• Sliver Case Study: Assessing Common Offensive Security Tools (Team Cymru)
• Sliver (Github)
• Detecting Sliver C2 framework with Wazuh (Wazuh)
• Sliver: Cross-platform General Purpose Implant Framework Written in Golang (Bishop Fox)
• Sliver (Mitre ATT&CK)
• Sliver (Malpedia)