Construyendo Infra de C2 con Sliver en Lab Aislado para Estudio Defensivo

Cada vez que un analista de SOC abre un ticket por 'beacon sospechoso', hay chance real de que nadie en el equipo haya visto un C2 funcionando de verdad. Los operadores de Red Team usan Sliver, Mythic y Havoc todos los dias, pero la mayoria de los defensores solo conoce esos frameworks por capturas en informes de Mandiant. Basilisk OffSec armo un lab aislado en VLAN sin salida a internet justo para cerrar ese hueco. El objetivo no es atacar nada externo: es generar telemetria realista para que el Blue Team entrene reglas de deteccion con indicadores que vos mismo generaste, controlaste y documentaste. Sin eso, cualquier threat hunting termina siendo adivinanza educada.

Sliver esta escrito en Go, lo mantiene BishopFox y tiene implants para Windows, Linux y macOS con canales mTLS, WireGuard, HTTP(S) y DNS. Comparado con Cobalt Strike es gratis, open-source y auditable; comparado con Mythic exige menos infra para un lab chico. En nuestro setup usamos una VM Debian 12 como teamserver con 4 vCPU y 8 GB RAM, detras de un pfSense que solo permite trafico entre la VLAN del C2 (10.50.10.0/24) y la VLAN de victimas (10.50.20.0/24). Cero NAT hacia afuera. Si todavia no armaste un lab base, el camino cubierto en Pentest Web desde Cero: Montando un Lab Seguro con DVWA, Juice Shop y Burp Suite sirve como cimiento solido antes de seguir.

La instalacion del teamserver es directa: 'curl https://sliver.sh/install | sudo bash' funciona, pero en ambiente aislado bajamos el binario firmado, lo validamos con cosign y lo copiamos via pendrive dedicado. Generamos perfiles de implant con 'generate --mtls 10.50.10.5:8443 --os windows --arch amd64 --skip-symbols --save ./payloads'. El flag --skip-symbols reduce el binario un 40% y dificulta el reverse engineering rapido, pero deja suficiente para debug. En un lab Windows 11 21H2 con Defender real time on, el implant sin ofuscar muere en 12 segundos: exactamente eso queremos medir. Para entender el ciclo de entrega que precede al beacon, vale revisar Initial Access Simulado: Macros, LNK e ISO en un Lab Windows 11 Aislado.

La parte mas educativa viene despues de que el beacon conecta. Cada comando del operador (whoami, getsystem, execute-assembly, sideload) genera un patron de proceso, llamada de API y trafico de red que el equipo defensivo necesita aprender a reconocer. Corremos Sysmon con la config de SwiftOnSecurity, Elastic Agent enviando a un cluster local y correlacionamos los eventos con reglas Sigma. En 3 sprints mapeamos 47 detecciones nuevas - desde named pipes default de Sliver hasta spawn de rundll32 sin command line. Ese flujo de convertir IOC en regla esta detallado en Threat Hunting con Sigma y Elastic: Del Indicador a la Regla de Deteccion y complementa bien lo que vemos aca.

El movimiento lateral dentro del lab es donde la cosa se pone sabrosa. Levantamos un mini-AD con 2 DCs, 4 workstations y un file server, espejando topologia de cliente mediano. Con el Sliver implant inicial en un host de bajo privilegio, usamos rubeus para Kerberoasting, despues pivoteamos via WireGuard para llegar al DC sin tocarlo directamente desde el teamserver. Las tecnicas de Pentest de Active Directory: Kerberoasting Paso a Paso en Lab GOAD y Pivoting con Chisel y Ligolo-ng: Redes Segmentadas en Lab de Pentest son basicamente la misma logica aplicada con herramienta distinta. El punto: cada salto deja rastro - 4624 type 3, 4769 con encryption debil, conexiones WMI anomalas - y todo eso se convierte en material de training para hunting.

El OPSEC del lab importa mas de lo que parece. Aun air-gapped, snapshots con implants activos ya filtraron a repos publicos cuando alguien subio sin querer. Nuestra regla: las VMs del lab viven en datastore cifrado LUKS, los snapshots nunca salen del host, y cualquier artefacto que necesite salir (regla Sigma, IOC, video) pasa por revision manual. Esto conversa con el enfoque de OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal y Higiene de Metadatos: Limpiando EXIF, PDF y Office antes de Publicar - el error clasico es publicar PDF de informe con metadatos que entregan username, hostname e incluso path de archivo en la laptop personal del investigador.

Takeaway practico: si defendes una empresa y nunca viste un Sliver beacon en una pantalla que vos mismo controlas, tu deteccion es teorica. Reserva un viernes entero, arma el lab con pfSense + Debian + 2 Windows, genera un implant sin ofuscar, dejalo correr comandos por 30 minutos y abri el Sysmon. Vas a tener mas material de hunting que tres cursos pagos juntos - y cero riesgo legal, porque todo pasa dentro de la VLAN 10.50.0.0/16 que no habla con nadie afuera.