s0633-sliver - RunkIntel

# Sliver > Tipo: **C2 framework** · S0633 · [MITRE ATT&CK](https://attack.mitre.org/software/S0633) ## Visão Geral [[s0633-sliver|Sliver]] e um framework de comando e controle (C2) open source, multiplataforma e altamente personalizado, desenvolvido pela empresa de segurança ofensiva **BishopFox** e públicado em 2019. Escrito em Go (Golang), o Sliver emergiu como a principal alternativa open source ao [[s0154-cobalt-strike|Cobalt Strike]] - especialmente após o licenciamento mais restritivo do Cobalt Strike em 2022 - e rapidamente se tornou um dos frameworks C2 mais adotados tanto por red teams legitimos quanto por atores de ameaça maliciosos. A adocao por grupos APT e de crime cibernético foi rapida e documentada: o [[g0016-apt29|APT29]] (Cozy Bear) substituiu parte de sua toolset pelo Sliver em 2021; o [[g0127-ta551|TA551]] (Shathak) usou o Sliver em campanhas de distribuição de malware bancario; e o [[g1021-cinnamon-tempest|Cinnamon Tempest]] (grupo chines) utilizou o Sliver extensivamente em campanhas de espionagem. O FBI e a CISA emitiram alertas conjuntos sobre o uso do Sliver por atores de ameaça em 2023. As vantagens que tornam o Sliver atrativo para atores maliciosos sao: **compilacao per-session** que gera implantes com assinaturas criptograficas únicas (contornando detecção por hash/assinatura estática); suporte a **mTLS, WireGuard, HTTP(S) e DNS** como canais de comunicação, com perfis de listener configuráveis; o gerenciador de pacotes **Armory** que facilita download e instalacao de extensoes; e compilacao cross-platform para Windows, Linux e macOS de um único servidor. **Plataformas:** Windows, Linux, macOS ## Como Funciona A arquitetura do Sliver e composta por tres componentes: **1. Servidor C2 (sliver-server):** - Escrito em Go, roda em Linux - Interface de linha de comando (CLI) e modo cliente/servidor multi-operador - Gerencia listeners em múltiplos protocolos simultaneamente - Database SQLite para persistência de sessoes e implantes - Armory: gerenciador de pacotes integrado com ~70 extensoes (Mimikatz, BOF, etc.) **2. Implante (Sliver Implant / "sliver"):** - Gerado on-demand, único por operação com chave criptografica diferente - Suporte a **Beacon mode** (checkin periodico agendado) e **Session mode** (interativo) - Canais de C2: mTLS (padrao), WireGuard, HTTP/HTTPS, DNS - Comúnicação cifrada com curva eliptica P-384 (assimetrica) + AES-GCM (simetrica) - Capacidade de pivot: transformar implante em relay para infra interna **3. Extensoes (Armory):** - **BOF (Beacon Object Files)**: código executado em-processo sem tocar disco - **COFF Loader**: executa arquivos objeto COFF diretamente na memoria - **Mimikatz, Rubeus**: credenciais e tickets Kerberos - **SharpHound**: Active Directory enumeration para BloodHound - **Seatbelt**: auditoria de configuração do host comprometido ## Attack Flow ```mermaid graph TB A["Deploy do Implante Phishing, vulnerabilidade ou supply chain"] --> B["Estabelecimento C2 mTLS ou WireGuard cifrado ponta-a-ponta"] B --> C["Reconhecimento Seatbelt - enum host SharpHound - enum AD"] C --> D["Credential Access Mimikatz/Rubeus via BOF execução em-processo"] D --> E["Movimentação Lateral Pivot via implante relay ou credenciais roubadas"] E --> F["Objetivo Final Exfiltração dados ou deploy payload adicional"] classDef deploy fill:#1a5276,color:#fff,stroke:#154360 classDef c2 fill:#7f8c8d,color:#fff,stroke:#626567 classDef recon fill:#2c3e50,color:#fff,stroke:#1a252f classDef cred fill:#8e44ad,color:#fff,stroke:#6c3483 classDef lat fill:#d35400,color:#fff,stroke:#a04000 classDef obj fill:#c0392b,color:#fff,stroke:#922b21 class A deploy class B c2 class C recon class D cred class E lat class F obj ``` **Nota:** Usado por [[g0016-apt29|APT29]], [[g0127-ta551|TA551]], [[g1021-cinnamon-tempest|Cinnamon Tempest]] e grupos de ransomware como substituto ao [[s0154-cobalt-strike|Cobalt Strike]]. ## Comparativo - Frameworks C2 Open Source ```mermaid pie title Frameworks C2 em Campanhas APT (2023-2024) "Cobalt Strike" : 38 "Sliver" : 22 "Havoc" : 14 "Metasploit" : 12 "Outros" : 14 ``` **Fonte:** Estimativas baseadas em relatorios da Recorded Future, CISA e Microsoft MSTIC (2023-2024). ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia assimetrica P-384 para C2 | | [[t1071-004-dns\|T1071.004]] | DNS como canal C2 alternativo | | [[t1027-004-compile-after-delivery\|T1027.004]] | Compilacao per-session - assinatura única por operação | | [[t1055-process-injection\|T1055]] | BOF executados em-processo sem toque em disco | | [[t1134-access-token-manipulation\|T1134]] | Impersonacao e manipulação de tokens Windows | | [[t1001-002-steganography\|T1001.002]] | Ocultacao de trafego C2 via esteganografia | | [[t1090-001-internal-proxy\|T1090.001]] | Pivot de implante como proxy interno | | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payloads criptografados para evasão de EDR | ## Grupos que Usam - [[g0016-apt29|APT29]] (Cozy Bear, Midnight Blizzard - espionagem russa, SVR) - [[g0127-ta551|TA551]] (Shathak - distribuição de malware, crime cibernético) - [[g1021-cinnamon-tempest|Cinnamon Tempest]] (grupo chines, ransomware/espionagem) - [[g1015-scattered-spider|Scattered Spider]] (grupo anglofono, engenharia social + ransomware) - Multiplos grupos de ransomware: LockBit affiliates, BlackCat/ALPHV, Akira ## Malware Associado - [[s0154-cobalt-strike|Cobalt Strike]] - alternativa comercial que o Sliver substituiu em muitas operações - [[s1229-havoc|Havoc]] - framework C2 open source contemporaneo com foco em evasão Windows - [[metasploit|Metasploit]] - framework C2/exploit mais antigo frequentemente usado em conjunto - [[mimikatz|Mimikatz]] - extensao Armory para credential dumping - [[s0521-bloodhound|BloodHound]] - ferramenta de enumeracao AD complementar (SharpHound) ## Detecção A detecção do Sliver e desafiadora pela compilacao per-session, mas múltiplas abordagens sao eficazes: **Network-based:** - Fingerprinting JARM de listeners Sliver: o servidor TLS tem assinatura JARM identificavel mesmo com certificado customizado - Detecção de trafego mTLS com certificados self-signed de curta válidade para IPs sem reputacao - Regras de DNS para padroes de beaconing (intervalos regulares com jitter) via protocolo DNS **Endpoint-based:** - Regras YARA para a chave pública P-384 hardcoded nos implantes (assinatura de geracao) - Detecção de carregamento de BOFs: execução de shellcode em-processo por processos nao-shell - Monitorar execução de `sliver-server` em sistemas internos (red team legitimo) - EDR com detecção comportamental de process injection e hollow process **Threat Intelligence:** - Infraestrutura de C2 Sliver e rastreada pelo Censys, Shodan e services de threat intel - JARM fingerprinting: `07d14d16d21d21d07c42d41d00041d24a458a375eef0c576d23a7bab9a9fb1` ## Relevância LATAM/Brasil O Sliver e de alta relevância para o Brasil em dois contextos distintos. Primeiro, como **ferramenta de red team legitima**: times de segurança ofensiva de empresas brasileiras de pentest (como Tempest, ISH, Aon) utilizam o Sliver em engajamentos de red team como alternativa ao Cobalt Strike - prática legitima e recomendada. Segundo, como **ferramenta de atores maliciosos**: grupos de ransomware que operam no Brasil (RansomHub, LockBit affiliates) foram observados usando implantes Sliver em intrusions documentadas por pesquisadores da Kaspersky e ESET em 2023-2024. A principal implicacao defensiva para SOCs brasileiros e que regras de detecção baseadas apenas em hashes ou assinaturas estáticas sao **ineficazes contra o Sliver** (compilacao per-session). Detecção comportamental, JARM fingerprinting de C2 e análise de trafego de rede sao os vetores eficazes. Times de threat hunting devem incluir Sliver nos seus modelos de ameaça como substituto provavel ao Cobalt Strike em campanhas contra alvos brasileiros. ## Referências - [MITRE ATT&CK - S0633](https://attack.mitre.org/software/S0633) - [GitHub - BishopFox/sliver](https://github.com/BishopFox/sliver) - [CISA Alert AA23-075A - #StopRansomware: Hive Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a) - [FBI/CISA - Alert sobre uso de Sliver por grupos de ameaça](https://www.cisa.gov/news-events/alerts/2023/01/31/cisa-fbi-hhs-and-ms-isac-release-joint-advisory-royal-ransomware) - [Recorded Future - Sliver Adoption by Threat Actors](https://www.recordedfuture.com/sliver-c2-framework-adoption-threat-actors) - [BishopFox - Sliver Documentation](https://sliver.sh/docs)