网络攻击的新趋势：Sliver命令控制框架的崛起

关键要点

• 越来越多的国家级威胁行为者正使用Sliver命令控制框架替代Cobalt Strike进行网络攻击。
• 随着对Cobalt Strike的防御措施改善，黑客们转向较不知名的Sliver。
• Sliver是一个基于Go的开源C2平台，支持自定义植入和用户开发扩展。
• 恶意团伙DEV-0237（又称FIN12）是Sliver框架的主要用户。
• Sliver框架可支持入侵系统后执行后门程序，其他威胁行为者也在整合Sliver到Bumblebee加载器中。

随着网络安全防御技术的发展，更多国家级威胁行为者如今开始转向Sliver命令控制框架，取代之前广为人知的CobaltStrike进行网络攻击。根据的报道，微软研究人员指出，由于对流行的CobaltStrike攻击工具的防护措施越来越有效，黑客们正在逐步迁移到一个名为Sliver的较少被知晓的框架。Sliver是一个基于Go的开源C2平台，具备自定义植入生成和用户开发扩展支持，能够更隐秘地执行长期攻击活动。

在最近的网络犯罪中，DEV-0237（也称为FIN12）是Sliver框架的一个高频用户。Sliver不仅能够设置入侵者工具，还能有效地交付后门以便对已经被侵入的系统进行进一步控制。研究人员补充道，其他攻击者也在将Sliver与Bumblebee加载器（也称为COLDTRAIN）结合使用。这种趋势反映出威胁行为者在不断寻求规避自动化安全检测的方式。

“Sliver和许多其他C2框架都是威胁行为者不断尝试规避自动化安全检测的又一实例，”微软表示。

特点 | Sliver | Cobalt Strike
—|—|—
类型 | 开源、基于Go的C2平台 | 商业化攻击工具
植入支持 | 自定义植入生成，用户开发扩展 | 受限，依赖预设功能
安全规避能力 | 更强，能够进行隐蔽攻击 | 逐渐被识破

如上所述，Sliver的崛起意味着网络攻击者不断更新他们的工具，以对抗日益增强的网络安全防御。了解这些新兴工具有助于提升防御措施，确保安全性。