Udany cyberatak to coś więcej niż tylko wbicie stopy w drzwi niczego niepodejrzewającej organizacji. Aby uzyskać jakiekolwiek rzeczywiste korzyści, atakujący musi zachować obecność w środowisku docelowym, komunikować się z zainfekowanymi lub zhakowanymi urządzeniami w sieci i potencjalnie eksfiltrować poufne dane. Kluczem do realizacji wszystkich tych zadań jest solidna infrastruktura dowodzenia i kontroli „C2”. Co to jest C2? W tym poście odpowiemy na to pytanie i przyjrzymy się, jak przeciwnicy wykorzystują te ukryte kanały komunikacji do przeprowadzania wysoce wyrafinowanych ataków. Przyjrzymy się również, jak wykrywać i bronić się przed atakami opartymi na C2.
Co to jest C2?
Infrastruktura dowodzenia i kontroli, znana również jako C2 lub C&C “Command and Control”, to zestaw narzędzi i technik, których atakujący używają do utrzymania komunikacji z zaatakowanymi urządzeniami po początkowym wlamaniu. Poszczególne mechanizmy różnią się znacznie w zależności od ataków, ale C2 zazwyczaj składa się z jednego lub więcej ukrytych kanałów komunikacji między urządzeniami w organizacji ofiary a platformą kontrolowaną przez atakującego. Te kanały komunikacji są wykorzystywane do wydawania instrukcji zaatakowanym urządzeniom, pobierania dodatkowych szkodliwych pakietów danych i przesyłania skradzionych danych z powrotem do przeciwnika.
C2 występuje w wielu różnych formach. W chwili pisania tego tekstu organizacja MITER ATT&CK wymienia 16 różnych technik dowodzenia i kontroli, z których każda zawiera szereg podtechnik, które zaobserwowano w poprzednich cyberatakach. Powszechną strategią jest łączenie się z innymi typami legalnego ruchu, który może być używany w organizacji docelowej, takim jak HTTP/HTTPS lub DNS. Atakujący mogą podjąć inne działania, aby ukryć swoje wywołania zwrotne C&C, takie jak użycie szyfrowania lub nietypowych rodzajów kodowania danych.
Istnieje wiele terminów, które możesz również usłyszeć obok C2 lub C&C:
Czym jest zombie?
Zombie to komputer lub inny rodzaj podłączonego urządzenia, które zostało zainfekowane jakąś formą złośliwego oprogramowania i może być zdalnie kontrolowane przez złośliwą stronę bez wiedzy i zgody prawdziwego właściciela. Podczas gdy niektóre wirusy, trojany i inne niechciane programy wykonują określone działania po zainfekowaniu urządzenia, wiele rodzajów złośliwego oprogramowania istnieje głównie po to, aby otworzyć drogę do infrastruktury C2 atakującego. Te „zombie” maszyny można następnie przejąć w celu wykonania dowolnej liczby zadań, od przekazywania spamu po udział w atakach typu Distributed Denial of Service (DDoS) na dużą skalę.
Co to jest botnet?
Botnet to zbiór maszyn zombie, które są wykorzystywane do wspólnego nielegalnego celu. Może to być wszystko, od wydobywania kryptowaluty do wyłączania witryny internetowej za pomocą ataku rozproszonej odmowy usługi (DDoS). Botnety są zwykle zjednoczone wokół wspólnej infrastruktury C2. Hakerzy często też sprzedają dostęp do botnetów innym przestępcom pod nazwą „ataku jako usługi”.
Co to jest sygnalizacja?
Beaconing odnosi się do procesu, w którym zainfekowane urządzenie “dzwoni do domu” czyli do infrastruktury C2 napastnika w celu sprawdzenia instrukcji lub dodatkowych ładunków, często w regularnych odstępach czasu. Aby uniknąć wykrycia, niektóre rodzaje złośliwego oprogramowania wyświetlają się w losowych odstępach czasu lub mogą pozostawać w stanie uśpienia przez pewien czas, zanim “zadzwonią do domu” wywołają połączenie zwrotne.
Co hakerzy mogą osiągnąć dzięki infrastrukturze C2?
Większość organizacji ma dość skuteczne zabezpieczenia obwodowe, które utrudniają przeciwnikowi zainicjowanie połączenia ze świata zewnętrznego do sieci organizacji bez wykrycia. Jednak komunikacja wychodząca często nie jest tak intensywnie monitorowana lub ograniczona. Oznacza to, że złośliwe oprogramowanie wprowadzone za pośrednictwem innego kanału — na przykład wiadomości phishingowej lub zainfekowanej witryny — często może ustanowić kanał komunikacji w kierunku wychodzącym, który w innym przypadku byłby niemożliwy. Po otwarciu tego kanału haker może wykonywać dodatkowe działania, takie jak:
Poruszać się poprzez organizację ofiary tzw. “latteral movement”
Gdy atakujący zdobędzie wstępny przyczółek, zwykle będzie starał się poruszać wewnątrz w całej organizacji, wykorzystując swoje kanały C2 do przesyłania informacji o innych hostach, które mogą być podatne na ataki lub błędnie skonfigurowane. Pierwsza zhakowana maszyna może nie być wartościowym celem, ale służy jako platforma startowa umożliwiająca dostęp do bardziej wrażliwych części sieci. Proces ten może być powtarzany kilka razy, dopóki atakujący nie uzyska dostępu do celu o wysokiej wartości, takiego jak serwer plików lub kontroler domeny.
Ataki wieloetapowe
Najbardziej złożone cyberataki często składają się z wielu odrębnych etapów. Często początkowa infekcja składa się z „droppera” lub downloadera, który odwołuje się do infrastruktury C2 przeciwnika i pobiera dodatkowe złośliwe pakiety danych. Ta modułowa architektura umożliwia atakującemu prowadzenie kampanii, które są zarówno szeroko rozpowszechnione, jak i wysoce skoncentrowane. Dropper może zainfekować tysiące organizacji, umożliwiając atakującemu selektywność i tworzenie niestandardowego złośliwego oprogramowania drugiego stopnia dla najbardziej lukratywnych celów. Model ten pozwala również na całą zdecentralizowaną branżę cyberprzestępczości. Początkowa grupa dostępu może na przykład sprzedać dostęp do głównego celu, takiego jak bank lub szpital, gangowi ransomware.
Eksfiltracja danych
Kanały C2 są często dwukierunkowe, co oznacza, że oprócz wysyłania instrukcji do zaatakowanych hostów, atakujący może pobrać lub „wyeksportować” dane ze środowiska docelowego. Skradzione dane mogą obejmować wszystko, od tajnych dokumentów wojskowych po numery kart kredytowych lub dane osobowe, w zależności od organizacji ofiary. Coraz częściej gangi ransomware wykorzystują eksfiltrację danych jako dodatkową taktykę w celu wymuszenia swoich celów; nawet jeśli organizacja może odzyskać dane z kopii zapasowych, przestępcy grożą ujawnieniem skradzionych i potencjalnie kłopotliwych informacji.
Inne zastosowania
Jak wspomniano wcześniej, botnety są często wykorzystywane do przeprowadzania ataków DDoS na strony internetowe i inne usługi. Instrukcje, które strony atakować są dostarczane przez C2. Inne typy instrukcji mogą być również wydawane komputerom zombie przez C2. Na przykład zidentyfikowano duże botnety do kopania kryptowalut. Teoretyzowano o jeszcze bardziej egzotycznych zastosowaniach, od używania poleceń C2 do zakłócania wyborów lub manipulowania rynkami energii.
Modele dowodzenia i kontroli
Chociaż istnieje wiele różnych opcji implementacji C2, architektura między złośliwym oprogramowaniem a platformą C2 zwykle będzie wyglądać jak jeden z następujących modeli:
Scentralizowany
Scentralizowany model dowodzenia i kontroli działa podobnie jak tradycyjna relacja klient-serwer. „Klient” złośliwego oprogramowania zadzwoni do domu na serwer C2 i sprawdzi instrukcje. W praktyce infrastruktura po stronie serwera atakującego jest często znacznie bardziej złożona niż pojedynczy serwer i może obejmować przekierowania, systemy równoważenia obciążenia i środki obrony w celu wykrycia badaczy bezpieczeństwa i organów ścigania. Usługi chmury publicznej i sieci dostarczania treści (CDN) są często używane do hostowania lub maskowania aktywności C2. Hakerzy często włamują się na legalne strony internetowe i używają ich do hostowania serwerów dowodzenia i kontroli bez wiedzy właściciela.
Aktywność C2 jest często wykrywana dość szybko, a domeny i serwery powiązane z kampanią mogą zostać usunięte w ciągu kilku godzin od ich pierwszego użycia. Aby temu zaradzić, współczesne złośliwe oprogramowanie jest często kodowane z listą wielu różnych serwerów C2, do których można próbować dotrzeć. Najbardziej wyrafinowane ataki wprowadzają dodatkowe warstwy zaciemniania. Zaobserwowano złośliwe oprogramowanie pobierające listę serwerów C2 z współrzędnych GPS osadzonych na zdjęciach oraz z komentarzy na Instagramie.
Peer-to-Peer (P2P)
W modelu C&C P2P instrukcje dowodzenia i kontroli są dostarczane w sposób zdecentralizowany, a członkowie botnetu przekazują między sobą wiadomości. Niektóre boty mogą nadal działać jako serwery, ale nie ma węzła centralnego ani „głównego”. To sprawia, że jest on znacznie trudniejszy do zakłócenia niż model scentralizowany, ale może również utrudnić atakującemu wydawanie instrukcji dla całego botnetu. Sieci P2P są czasami używane jako mechanizm awaryjny w przypadku zakłócenia głównego kanału C2.
Poza pasmem i losowo
Zaobserwowano szereg nietypowych technik wydawania instrukcji zainfekowanym hostom. Hakerzy szeroko wykorzystywali platformy mediów społecznościowych jako niekonwencjonalne platformy C2, ponieważ rzadko są one blokowane. Projekt o nazwie Twittor ma na celu zapewnienie w pełni funkcjonalnej platformy dowodzenia i kontroli przy użyciu wyłącznie bezpośrednich wiadomości na Twitterze. Zaobserwowano również, że hakerzy używają Gmaila, pokojów rozmów IRC, a nawet Pinteresta do wysyłania wiadomości C&C do zaatakowanych hostów. Pojawiła się również teoria, że infrastruktura dowodzenia i kontroli może być całkowicie losowa, a atakujący skanuje duże obszary Internetu w nadziei na znalezienie zainfekowanego hosta.
Wykrywanie i zapobieganie ruchowi dowodzenia i kontroli
jak zapobiec włamaniu
Ruch C2 może być bardzo trudny do wykrycia, ponieważ atakujący dokładają wszelkich starań, aby uniknąć zauważenia. Obrońcy mają jednak ogromne możliwości, ponieważ zakłócenie C2 może zapobiec przekształceniu się infekcji złośliwym oprogramowaniem w poważniejszy incydent, taki jak wyciek danych. W rzeczywistości wiele cyberataków na dużą skalę wykryto początkowo, gdy badacze zauważyli aktywność C2. Oto kilka ogólnych technik wykrywania i zatrzymywania ruchu poleceń i kontroli we własnej sieci:
Monitoruj i filtruj ruch wychodzący
Wiele organizacji przywiązuje niewielką wagę do ruchu wychodzącego z ich sieci, skupiając się zamiast tego na zagrożeniach zawartych w ruchu przychodzącym. Ten brak świadomości ułatwia napastnikowi działania dowodzenia i kontroli. Starannie opracowane reguły zapory egress mogą utrudnić przeciwnikowi otwarcie ukrytych kanałów komunikacji. Na przykład ograniczenie wychodzących żądań DNS tylko do serwerów kontrolowanych przez organizację może zmniejszyć zagrożenie tunelowaniem DNS. Serwery proxy mogą służyć do kontroli wychodzącego ruchu internetowego, ale użytkownicy muszą zadbać o skonfigurowanie kontroli SSL/TLS, ponieważ hakerzy przyjęli szyfrowanie wraz z resztą sieci. Usługi filtrowania DNS mogą również służyć do zapobiegania wywołaniom zwrotnym C2 do podejrzanych lub nowo zarejestrowanych domen.
Uważaj na beacony
Sygnały nawigacyjne mogą być charakterystycznym znakiem aktywności dowodzenia i kontroli w Twojej sieci, ale często są trudne do wykrycia. Większość rozwiązań IDS/IPS wychwytuje sygnały nawigacyjne związane z gotowymi platformami, takimi jak Metasploit i Cobalt Strike, ale mogą one być łatwo dostosowane przez atakujących, aby znacznie utrudnić wykrywanie. Do głębszej analizy ruchu sieciowego (NTA) można użyć narzędzia takiego jak RITA. W niektórych przypadkach zespoły zajmujące się polowaniem na zagrożenia posuwają się tak daleko, że ręcznie sprawdzają zrzuty pakietów za pomocą narzędzia takiego jak Wireshark lub tcpdump.
Sprawdź logi
Zbieranie plików dziennika z jak największej liczby źródeł ma kluczowe znaczenie podczas polowania na oznaki ruchu związanego z C&C. Często potrzebna jest dokładna analiza, aby odróżnić ruch C2 od legalnych aplikacji. Analitycy bezpieczeństwa mogą muszą szukać nietypowych wzorców, badać ładunki pozornie łagodnych żądań HTTPS lub DNS i przeprowadzać inne rodzaje analiz statystycznych. Im większa ilość informacji, z którymi musi pracować analityk lub łowca zagrożeń, tym lepiej. Zdalne logowanie i rozwiązania SIEM mogą pomóc w tym zadaniu.
Skoreluj dane z wielu źródeł
Cały sens utrzymania infrastruktury dowodzenia i kontroli polega na wykonaniu określonej czynności, takiej jak dostęp do ważnych plików lub infekowanie większej liczby hostów. Polowanie na aktywność C&C zarówno z perspektywy danych, jak i sieci zwiększa prawdopodobieństwo wykrycia dobrze zakamuflowanych cyberataków, zapewniając głęboką widoczność wymaganą do wykrycia wszystkiego, od zagrożeń wewnętrznych po grupy APT.
Wnioski i Podsumowanie
Infrastruktura dowodzenia i kontroli jest niezbędna dla atakujących – stanowi szansę dla obrońców na wykrycie. Blokowanie ruchu C&C lub demontaż infrastruktury C2 przeciwnika może powstrzymać cyberatak. Wykrywanie C2 nigdy nie powinno być jedynym celem organizacji i powinno być częścią większego programu bezpieczeństwa informacji, który obejmuje dobre praktyki „cyberhigieny”, szkolenie pracowników w zakresie świadomości bezpieczeństwa oraz dobrze przemyślane zasady i procedury. Te kroki mogą znacznie przyczynić się do złagodzenia zagrożenia stwarzanego przez infrastrukturę dowodzenia i kontroli.
W naszym kolejnym wpisie zaprezentujemy jak latwe moze byc polaczenie zwrotne do takiego serwera C&C przy pomocy prostego makra w pliku excell, zapraszamy.