Sliver C2攻击检测与防御指南<\/h1>

0X00 概述<\/h2>
Sliver是一个开源的跨平台C2框架，由Bishop Fox于2019年发布，使用Golang编写，支持Windows、Unix和MacOS平台。作为Cobalt Strike的开源替代方案，Sliver因其开源特性和可扩展性被安全研究人员和攻击者广泛使用。<\/p>

0X01 Sliver框架简介<\/h2>

主要特点<\/h3>

开源且可二次开发<\/li>
支持跨平台编译<\/li>
使用Armory扩展包管理系统<\/li>
支持多种网络协议(HTTP(s)、DNS、TLS等)<\/li>

提供三种主要攻击方法<\/li> <\/ul>

攻击阶段与工具<\/h3>

Stage0<\/strong>: 初始入侵(Qakbot、IcedID、Emotet、Trickbot等)<\/li>
Stage1<\/strong>: 权限维持(Cobalt Strike、Sliver等)<\/li>
Stage2<\/strong>: 权限提升和横向移动(Sliver擅长)<\/li>

Stage3<\/strong>: 数据提取(MEGASync、Rclone等)<\/li> <\/ul>
0X02 Sliver攻击检测方法<\/h2>
方法一：检测PowerShell命令执行<\/h3>
攻击特征<\/strong>：<\/p>

使用C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe<\/code><\/li>
进程参数：-NoExit [Console]::OutputEncoding=[Text.UTF8Encoding]::UTF8<\/code><\/li> <\/ul> 检测方法<\/strong>：<\/p> 监控PowerShell作为子进程的进程<\/li> 检测特定可执行文件和进程参数组合<\/li> 监控Sliver执行的恶意命令<\/li> 监控脚本块和命令加载行为<\/li> <\/ol> ATT&CK相关<\/strong>：<\/p> DS0009<\/li> DS0017<\/li> DS0022 (EVTX)<\/li> <\/ul> 方法二：检测令牌窃取<\/h3> 攻击特征<\/strong>：<\/p> 使用impersonate<\/code>命令启动提升的命令提示符<\/li> 进程令牌与线程令牌所有者不一致<\/li> 类似Mimikatz的行为模式<\/li> <\/ul> 检测方法<\/strong>：<\/p> 监控进程令牌操作(OpenProcessToken)<\/li> 检测用户模仿行为(ImpersonateLoggedOnUser)<\/li> 监控令牌复制行为(DuplicateTokenEx)<\/li> 检测权限调整行为(AdjustTokenPrivileges)<\/li> <\/ol> 典型指标<\/strong>：<\/p> 线程令牌由"NT AUTHORITY\SYSTEM(ImpersonationToken.User)"拥有<\/li> 进程令牌由普通用户账户(如"MSEDGEWIN10\IEUser(OwnerSid)")拥有<\/li> <\/ul> 方法三：检测Shellcode注入<\/h3> 攻击特征<\/strong>：<\/p> 执行C:\windows\system32\notepad.exe<\/code><\/li> 创建具有读写权限的内存区域(VirtualAllocEx, PAGE_READWRITE)<\/li> 写入shellcode(WriteProcessMemory)<\/li> 调整内存权限为执行和只读(PAGE_EXECUTE_READ)<\/li> 创建远程线程执行shellcode(CreateRemoteThread)<\/li> <\/ol> 关键函数<\/strong>：<\/p> \/\/ ExecuteShellcodeCmd - Execute shellcode in-memory <\/span><\/span><\/span><\/span>func<\/span> ExecuteShellcodeCmd<\/span>(cmd<\/span> *<\/span>cobra<\/span>.Command<\/span>, con<\/span> *<\/span>console<\/span>.SliverClient<\/span>, args<\/span> []string<\/span>) { <\/span><\/span> \/\/ 获取活动会话 <\/span><\/span><\/span><\/span> \/\/ 检查参数 <\/span><\/span><\/span><\/span> \/\/ 执行shellcode <\/span><\/span><\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ PrintExecuteShellcode - Display result of shellcode execution <\/span><\/span><\/span><\/span>func<\/span> PrintExecuteShellcode<\/span>(task<\/span> *<\/span>sliverpb<\/span>.Task<\/span>, con<\/span> *<\/span>console<\/span>.SliverClient<\/span>) { <\/span><\/span> \/\/ 显示执行结果 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>检测方法<\/strong>：<\/p> 监控notepad.exe异常启动<\/li> 检测内存权限异常变更<\/li> 监控远程线程创建行为<\/li> 检测shellcode写入操作<\/li> <\/ol> 0X03 网络流量检测<\/h2> 协议与检测方法<\/h3> 协议<\/th> 检测方法<\/th> <\/tr> <\/thead> HTTP(S)<\/td> 1. 监控端口31337上的TLS流量2. 检测TLS证书颁发者CN=operators和CN=multiplayer组合3. 基于JARM签名监控<\/td> <\/tr> DNS<\/td> 1. 监控异常DNS请求2. 对DNS请求中的域名进行异常检测<\/td> <\/tr> TLS<\/td> 1. 基于JARM签名监控2. 对HTTP(S)流量的域和IP地址执行异常检测<\/td> <\/tr> <\/tbody> <\/table> JARM指纹识别<\/h3> JARM通过对TLS服务器响应属性的哈希计算生成指纹，可用于识别Sliver C2服务器。可通过Shodan、Censys等工具基于JARM指纹搜索C2服务器。<\/p> 0X04 防御建议<\/h2> EDR部署<\/strong>：部署端点检测与响应解决方案<\/li> 进程监控<\/strong>：重点关注PowerShell、notepad.exe等进程的异常行为<\/li> 内存保护<\/strong>：监控内存权限变更和远程线程创建<\/li> 网络流量分析<\/strong>：实施JARM指纹检测和异常TLS流量监控<\/li> 日志收集<\/strong>：确保Windows事件日志(特别是EVTX)的完整收集和分析<\/li> 威胁情报<\/strong>：利用空间测绘工具(Fofa、Shodan等)追踪已知C2服务器<\/li> <\/ol> 0X05 参考资源<\/h2> Microsoft Security Blog: Looking for the Sliver lining<\/a><\/li> Immersive Labs: Detecting and Decrypting Sliver C2<\/a><\/li> Sliver GitHub仓库(分析源代码)<\/li> <\/ol>

Sliver C2攻击检测与防御指南<\/h1>

0X00 概述<\/h2> Sliver是一个开源的跨平台C2框架，由Bishop Fox于2019年发布，使用Golang编写，支持Windows、Unix和MacOS平台。作为Cobalt Strike的开源替代方案，Sliver因其开源特性和可扩展性被安全研究人员和攻击者广泛使用。<\/p>

0X01 Sliver框架简介<\/h2>

0X02 Sliver攻击检测方法<\/h2>

0X03 网络流量检测<\/h2>

JARM指纹识别<\/h3> JARM通过对TLS服务器响应属性的哈希计算生成指纹，可用于识别Sliver C2服务器。可通过Shodan、Censys等工具基于JARM指纹搜索C2服务器。<\/p>

0X05 参考资源<\/h2> Microsoft Security Blog: Looking for the Sliver lining<\/a><\/li> Immersive Labs: Detecting and Decrypting Sliver C2<\/a><\/li> Sliver GitHub仓库(分析源代码)<\/li> <\/ol>

0X00 概述<\/h2>
Sliver是一个开源的跨平台C2框架，由Bishop Fox于2019年发布，使用Golang编写，支持Windows、Unix和MacOS平台。作为Cobalt Strike的开源替代方案，Sliver因其开源特性和可扩展性被安全研究人员和攻击者广泛使用。<\/p>

JARM指纹识别<\/h3>
JARM通过对TLS服务器响应属性的哈希计算生成指纹，可用于识别Sliver C2服务器。可通过Shodan、Censys等工具基于JARM指纹搜索C2服务器。<\/p>

0X05 参考资源<\/h2>

Microsoft Security Blog: Looking for the Sliver lining<\/a><\/li>
Immersive Labs: Detecting and Decrypting Sliver C2<\/a><\/li>
Sliver GitHub仓库(分析源代码)<\/li> <\/ol>