Sliver是啥
引用我司在攻防领域浸淫多年的大牛原话:”Sliver基本弥补了CS的各种弱点,红队们自然喜大普奔。“
Sliver从设计之初就继承了CS的协作能力,并注重跨平台的感染能力。
Silver一方面在通信上做了安全性处理,通信更安全;Sliver使用任意名称加woff后缀方式理论上也可被扫描到,但验证难度很大,这让入侵更加隐蔽,更难发现。
相比CS,Sliver增加了MTLS和WireGuard两种加密通信方式来实现反连,目前很多安全设备并不具备检测这两种加密通信方式的能力。当然,微步TDP支持MTLS与WireGuard加密流量检测。
在载荷方面,CS与Sliver各有优点,比如CS载荷较小,相对比较隐蔽,但作为红队神器,其下载和解密算法在业内已经不算秘密;而Sliver载荷采用非对称加密算法,几乎无法破解,但载荷文件类型比较明显,且体积较大,容易被检出。比如,微步OneEDR就能有效检测Sliver载荷。
CS原生只支持Windows系统入侵,欲实现Linux、Mac登录,需借助Crossc2等工具,但功能有所欠缺; Sliver原生支持主流操作系统,且支持跨平台植入,极有成为红队新“神器”的潜力。
-
微步TDP可从流量侧检出Sliver; -
微步OneEDR可从主机侧检出Sliver;
通过7个维度的对比来看,Sliver弥补了CS的诸多缺点,比如易探测、载荷目标平台覆盖少、内存特征明显等;并且,Sliver在易用性、灵活性、隐蔽性方面都有极大的改善,降低了使用者的技能门槛。
点击下方名片,关注我们
哦原文始发于微信公众号(微步在线):防火防盗防CS马?明年HVV可能还有更难缠的Sliver
