Red TeamingJan Kahmen5 min Lesezeit

Red Teaming mit dem Sliver-Framework

Das Sliver Toolkit für Red Teaming Assessments ist ein Toolkit, das Entwicklern und Sicherheitsprofis auf der ganzen Welt helfen soll, ihren Netzwerkschutz zu überprüfen.

Was ist das Sliver Tool für Red Teaming Assessments?

Das Sliver Toolkit ist ein Open-Source-Framework für Penetrationstests und Red-Teaming-Assessments, das Sicherheitsexperten weltweit bei der Überprüfung ihres Netzwerkschutzes unterstützt. Mit dem Toolkit lassen sich gezielt Schwachstellen in Netzwerken identifizieren und beheben. Darüber hinaus können bekannte Angriffstechniken simuliert werden, um Lücken in bestehenden Sicherheitsmaßnahmen aufzudecken. Eine umfangreiche Dokumentation erleichtert den Einstieg und hilft dabei, Risiken für IT-Systeme und Netzwerke systematisch zu minimieren.

Sliver vs Cobalt Strike

Cobalt Strike ist ein kommerzielles Command-and-Control-Framework, das in kompromittierten Netzwerken eingesetzt wird, um nach einem initialen Einbruch Lateral Movement zu ermöglichen. Im Vergleich dazu bietet Sliver eine deutlich größere Auswahl an integrierten Modulen, die das Ausnutzen von Systemen und den Zugang zu Netzwerken erleichtern. Da Sicherheitsanalysten ihre Erkennungs- und Abwehrmaßnahmen gegen Cobalt Strike kontinuierlich verbessert haben, suchen Bedrohungsakteure zunehmend nach Alternativen. Sliver ist als kostenloses Open-Source-Projekt auf GitHub verfügbar -- im Gegensatz zu Cobalt Strike, dessen kommerzielle Lizenzierung bei jeder neuen Version umgangen werden muss. Entsprechend wächst das Interesse an Sliver als legitimes C2-Framework, das sich als Open-Source-Alternative zu Cobalt Strike und Metasploit etabliert hat.

Slivers Features

  1. Dynamic Code Generation: Implants werden bei jeder Generierung individuell erzeugt, was die Erkennung durch Signaturen erheblich erschwert.

  2. Compile-Time Obfuscation: Der Quellcode wird bereits zur Kompilierzeit verschleiert, sodass statische Analysen deutlich weniger effektiv sind.

  3. Multiplayer-Modus: Mehrere Operator können gleichzeitig an einem Assessment arbeiten und über einen gemeinsamen Server koordiniert agieren.

  4. Staged und Stageless Payloads: Payloads lassen sich entweder mehrstufig (Staged) oder als einzelne Datei (Stageless) ausliefern -- je nach Einsatzszenario.

  5. Procedurally Generated C2 over HTTP(S): Die C2-Kommunikation über HTTP(S) wird dynamisch generiert, um Netzwerk-Traffic unauffällig erscheinen zu lassen.

  6. DNS Canary Blue Team Detection: Sliver erkennt DNS-Canary-Einträge, die von Blue Teams zur Erkennung von Angreifern platziert werden, und warnt den Operator entsprechend.

  7. Sichere C2-Kommunikation über mTLS, WireGuard, HTTP(S) und DNS: Für die Verbindung zwischen Implant und C2-Server stehen mehrere verschlüsselte Protokolle zur Verfügung.

  8. Vollständig skriptbar mit JavaScript/TypeScript oder Python: Sämtliche Abläufe lassen sich über Skripte automatisieren, was komplexe Angriffsszenarien reproduzierbar macht.

  9. Windows-Prozessmigration, Prozessinjektion und Token-Manipulation: Fortgeschrittene Post-Exploitation-Techniken unter Windows ermöglichen das Migrieren zwischen Prozessen, das Injizieren von Code und das Manipulieren von Benutzertoken.

  10. Let's Encrypt-Integration: TLS-Zertifikate können automatisch über Let's Encrypt bezogen werden, um die C2-Kommunikation abzusichern.

  11. In-Memory-.NET-Assembly-Ausführung: .NET-Assemblys werden direkt im Arbeitsspeicher ausgeführt, ohne Dateien auf der Festplatte abzulegen.

  12. COFF/BOF In-Memory-Loader: COFF- und BOF-Dateien (Beacon Object Files) können im Arbeitsspeicher geladen und ausgeführt werden.

  13. TCP- und Named-Pipe-Pivots: Über TCP- und Named-Pipe-Verbindungen lässt sich der Zugriff auf weitere Systeme im Netzwerk ausweiten.

Fazit

Das Sliver-Framework ist ein leistungsstarkes Open-Source-C2-Framework, das Red Teams und Penetrationstestern eine flexible Alternative zu kommerziellen Lösungen wie Cobalt Strike bietet. Funktionen wie dynamische Code-Generierung, Compile-Time Obfuscation, sichere C2-Kommunikation über verschiedene Protokolle und umfassende Skriptunterstützung ermöglichen realistische Angriffssimulationen. Durch den Einsatz von Sliver im Rahmen von Red-Teaming-Assessments können Unternehmen ihre Verteidigungsmaßnahmen unter realistischen Bedingungen testen und gezielt verbessern.

Unsere Services

Red TeamingPenetrationstest