在分析恶意软件活动时,Zscaler ThreatLabZ 研究团队报告说,攻击者使用了一个名为 Havoc 的开源框架。
Zscaler ThreatLabZ 发现,为了隐藏他们在端点上的活动,攻击者使用了一种新工具 Havoc,而不是众所周知的 Cobalt Strike。此外,其他有助于绕过防病毒和 EDR 解决方案的框架最近也变得流行——Brute Ratel 和 Sliver 。
Brute Ratel 和 Sliver 框架在攻击者中越来越受欢迎。因此,根据VMware 的说法,Sliver 是市场上仅次于 Cobalt Strike 和 Metasploit的三大 C2 框架之一。
?早在去年,Positive Technologies Expert Security Center 团队( PT Expert Security Center)就意识到了这些工具,我们在产品中添加了一些模块和规则来检测这些威胁。
PT Network Attack Discovery (PT NAD) 和 MaxPatrol SIEM 产品将帮助您检测 Brute Ratel、Sliver、Cobalt Stike 的使用以及这些工具的工件。