本文分享自天翼云开发者社区《如何检测 Sliver C2 框架活动》，作者：Icecream

Sliver 是一个开源的跨平台对手模拟/红队框架，为渗透测试目的而开发，但与其他类似软件如 Cobalt Strike 一样，也被网络犯罪分子用于恶意活动。由于其多功能性和灵活性，它在网络犯罪团伙中越来越受欢迎。

特点

• 动态代码生成

• 编译时混淆

• 多人模式

• 分阶段和无阶段的有效载荷

• 通过 HTTP(S)程序性地生成 C2

• DNS 金丝雀蓝队检测

• 通过 mTLS、WireGuard、HTTP(S)和 DNS 的安全 C2

• 可使用 JavaScript/TypeScript 或 Python 完全编写脚本

• Windows 进程迁移、进程注入、用户令牌操作等。

• Let's Encrypt 集成

• 内存中的.NET 程序集执行

• COFF/BOF 内存加载器

• TCP 和命名的管道支点

有一些团体已知正在使用 Sliver 框架，包括高级持续性威胁（APT）团体和勒索软件团伙。这些团体使用 Sliver 来发动高度复杂的攻击，如 Ryuk 勒索软件攻击和 SolarWinds 供应链攻击。

为了检测 Sliver 相关活动，企业必须实施多层次的安全方法，其中应包括使用端点检测和响应（EDR)工具、网络流量分析和文件系统监控。接下来介绍三种检测 Sliver 的主要方法：

网络流量分析

这种方法涉及监控网络流量，以检测 Sliver 的流量模式和特征。例如，Sliver 的 C2 流量使用自定义加密算法进行加密，这可以通过监测网络流量来检测。此外，企业可以监测 C&C 流量使用的特定 IP 地址、域名和端口。一个例子是以下 Yara 规则

rule sliver_client : c2 implant{	meta:		description = "Bishop Fox's Sliver C2 Implant"		author = "Daniel Roberson"		url = "https://xxxx/sliver/sliver"
	strings:		$s1 = "xxxx/sliver/client"
	condition:		all of them and filesize < 50MB}
rule sliver_server : c2{	meta:		description = "Bishop Fox's Sliver C2 Server"		author = "Daniel Roberson"		url = "https://xxxx/sliver"
	strings:		$s1 = "RunSliver"
	condition:		all of them and filesize > 50MB}

文件系统监控

这种方法涉及监控文件系统中与 Sliver 的可执行文件有关的破坏指标（IoCs）。

企业可以通过监测这些文件以及特定系统文件的变化（如 Windows 注册表）来检测 Sliver C2 的存在。

妥协指标（IoC）的更新列表，例如 Malware Bazaar 提供的以下列表，对这种方法可能很有用。

端点检测和响应 (EDR) 工具

EDR 工具旨在检测和应对端点上的威胁，并可以通过监测特定的行为来检测 Sliver 活动，如执行恶意文件或使用特定的网络连接。

例如，检测到以下的网络连接