C2-Infra mit Sliver im Isolierten Lab fur Defensive Forschung Aufbauen

Jedes Mal, wenn ein SOC-Analyst ein Ticket fur 'verdachtigen Beacon' offnet, besteht die reale Chance, dass niemand im Team je einen C2 wirklich in Aktion gesehen hat. Red-Team-Operatoren nutzen Sliver, Mythic und Havoc taglich, doch die meisten Verteidiger kennen diese Frameworks nur aus Mandiant-Report-Screenshots. Basilisk OffSec hat genau deshalb ein isoliertes Lab in einer VLAN ohne Internet-Egress aufgebaut. Das Ziel ist nicht, irgendetwas extern anzugreifen, sondern realistische Telemetrie zu erzeugen, damit das Blue Team Detection-Regeln auf selbst generierten, kontrollierten und dokumentierten Indikatoren trainiert. Ohne das bleibt Threat Hunting gebildetes Raten.

Sliver ist in Go geschrieben, von BishopFox gepflegt und bringt Implants fur Windows, Linux und macOS uber mTLS, WireGuard, HTTP(S) und DNS mit. Im Vergleich zu Cobalt Strike kostenlos, Open Source und auditierbar; gegenuber Mythic mit weniger Infrastruktur fur ein kleines Lab auskommend. Unser Setup nutzt eine Debian-12-VM als Teamserver mit 4 vCPU und 8 GB RAM, hinter einer pfSense, die nur Traffic zwischen dem C2-VLAN (10.50.10.0/24) und dem Opfer-VLAN (10.50.20.0/24) erlaubt. Null NAT nach draussen. Falls du noch kein Basislab hast, ist der Weg aus Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen ein solides Fundament, bevor es weitergeht.

Die Teamserver-Installation ist direkt: 'curl https://sliver.sh/install | sudo bash' funktioniert, doch im isolierten Setup laden wir das signierte Binary, verifizieren es mit cosign und kopieren es uber einen dedizierten USB-Stick. Implant-Profile erzeugen wir mit 'generate --mtls 10.50.10.5:8443 --os windows --arch amd64 --skip-symbols --save ./payloads'. Das Flag --skip-symbols verkleinert das Binary um 40% und erschwert schnelles Reverse Engineering, lasst aber genug fur Debugging. In einem Windows-11-21H2-Lab mit aktivem Defender Real Time stirbt das unobfuskierte Implant in 12 Sekunden: genau das wollen wir messen. Wer die Delivery-Kette vor dem Beacon verstehen will, sollte Initial Access Simuliert: Makros, LNK und ISO im Isolierten Windows-11-Lab lesen.

Der lehrreiche Teil beginnt, sobald der Beacon einlauft. Jedes Operator-Kommando (whoami, getsystem, execute-assembly, sideload) erzeugt ein Prozessmuster, API-Calls und Netzwerkspuren, die das Defense-Team erkennen lernen muss. Wir fahren Sysmon mit der SwiftOnSecurity-Config, einen Elastic Agent in einen lokalen Cluster und korrelieren die Events mit Sigma-Regeln. Uber 3 Sprints haben wir 47 neue Detections kartiert - von Slivers Default-Named-Pipes bis zu rundll32-Spawns ohne Command Line. Die ganze Pipeline vom IOC zur Regel ist in Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel dokumentiert und passt direkt zu dem, was wir hier behandeln.

Lateral Movement innerhalb des Labs ist der eigentlich spannende Teil. Wir ziehen ein Mini-AD mit 2 DCs, 4 Workstations und einem File Server hoch, das die Topologie eines mittelgrossen Kunden spiegelt. Mit dem initialen Sliver-Implant auf einem Low-Privilege-Host nutzen wir Rubeus fur Kerberoasting, pivoten dann uber WireGuard zum DC, ohne ihn je direkt vom Teamserver zu beruhren. Die Techniken aus Active Directory Pentest: Kerberoasting Schritt fuer Schritt im GOAD Lab und Pivoting mit Chisel und Ligolo-ng: Segmentierte Netze im Pentest-Lab sind im Prinzip dieselbe Logik mit anderem Tooling. Wichtig: jeder Hop hinterlasst Spuren - 4624 Type 3, 4769 mit schwacher Encryption, ungewohnliche WMI-Verbindungen - und genau das wird zu Hunting-Trainingsmaterial.

Lab-OPSEC ist wichtiger, als viele glauben. Selbst air-gapped sind Snapshots mit aktiven Implants schon in offentliche Repos geleakt, weil jemand sie versehentlich hochgeladen hat. Unsere Regel: Lab-VMs liegen auf einem LUKS-verschlusselten Datastore, Snapshots verlassen den Host nie, und jedes Artefakt, das raus muss (Sigma-Regel, IOC, Video), durchlauft manuelle Review. Das passt zum Ansatz aus OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell und Metadaten-Hygiene: EXIF, PDF und Office vor der Veroffentlichung saubern - der Klassiker ist ein Report-PDF, dessen Metadaten Username, Hostname und sogar den Dateipfad auf dem privaten Laptop des Forschers verraten.

Praktisches Takeaway: Wenn du ein Unternehmen verteidigst und noch nie einen Sliver-Beacon auf einem Bildschirm gesehen hast, den du selbst kontrollierst, ist deine Detection theoretisch. Blockiere dir einen kompletten Freitag, bau das Lab mit pfSense + Debian + 2 Windows, generiere ein unobfuskiertes Implant, lass es 30 Minuten Befehle ausfuhren und offne Sysmon. Du nimmst mehr Hunting-Material mit als aus drei bezahlten Kursen zusammen - und das mit null rechtlichem Risiko, weil alles innerhalb des VLAN 10.50.0.0/16 passiert, das mit niemandem draussen spricht.