Добро пожаловать обратно, мои кибервоины!
Одна из ключевых задач для тех, кто защищает активы страны, учреждения или корпорации, — понять существующие угрозы. Это часто называют анализом киберугроз (CTI). Он включает в себя понимание действий субъектов (хакеров и государств) и того, какие из них представляют угрозу для вашей организации. В связи с этим у нас есть новый инструмент для выявления и отслеживания командных серверов, вредоносных программ и ботнетов с помощью контрольных отпечатков от Shodan и Censys.
На следующем рисунке показана связь бота Hoaxcalls C2 с его сервером C2 через IRC.
Использование простых веб-серверов для управления командными системами также упростило задачу злоумышленников. Этот период ознаменовал собой значительный шаг вперёд в развитии методов управления, открыв путь для ещё более продвинутых техник.
В системах командного управления P2P зараженные компьютеры взаимодействуют друг с другом, передавая команды и похищая данные. Такая децентрализованная структура значительно затрудняла отключение сети. Такие примеры, как ботнет Storm и более поздние версии ботнета Waledac, показали, насколько сложно бороться с этой моделью, что побудило экспертов по кибербезопасности искать новые способы обнаружения и противодействия этим угрозам.
Машины, зараженные ботнетом Storm:
Один из последних трендов — системы управления на основе блокчейна, которые используют криптовалютные сети для скрытой связи. Этот подход использует преимущества децентрализованности и анонимности блокчейна, создавая новые сложности для отслеживания и выявления подобных угроз.
Схемы транзакций блокчейна, используемые ботнетом Glupteba
Кроме того, эти данные помогают в проактивном поиске угроз, позволяя службам безопасности искать признаки взаимодействия командных центров (C2) в своих сетях и находить скрытые уязвимости. В более широком смысле, инструменты отслеживания C2 предоставляют ценную информацию правоохранительным органам и исследователям в области кибербезопасности, помогая им проводить операции по устранению угроз и разрабатывать новые стратегии защиты.
инфраструктуры C2.
Этот канал доступен на GitHub и обновляется еженедельно. Вы можете посмотреть результаты.
здесь: https://github.com/montysecurity/C2-Tracker/tree/main/data
Инструмент отслеживает обширный список угроз, включая:
kali> git clone https://github.com/montysecurity/C2-Tracker.git
kalI> cd C2-Tracker
kali> vim .env
Добавьте свой ключ API Shodan как переменную среды SHODAN_API_KEY и настройте учетные данные Censys с помощью CENSYS_API_ID и CENSYS_API_SECRET.
kali> python3 -m pip install -r requirements.txt
kali> python3 tracker.py
В каталоге данных вы можете увидеть результаты:
Давайте рассмотрим некоторые IP-адреса серверов GoPhish.
Shodan показывает, что порт по умолчанию 3333 открыт.
Открыв, мы видим форму авторизации.
Теперь перейдем к нашей главной цели — поиску серверов управления и контроля (C2).
Например, давайте рассмотрим IP-адреса Cobalt Strike.
У нас 827 результатов!
Каждый из этих IP-адресов представляет собой сервер Cobalt Strike C2.
Одна из ключевых задач для тех, кто защищает активы страны, учреждения или корпорации, — понять существующие угрозы. Это часто называют анализом киберугроз (CTI). Он включает в себя понимание действий субъектов (хакеров и государств) и того, какие из них представляют угрозу для вашей организации. В связи с этим у нас есть новый инструмент для выявления и отслеживания командных серверов, вредоносных программ и ботнетов с помощью контрольных отпечатков от Shodan и Censys.
Серверы управления и контроля: история, развитие и отслеживание
В быстро меняющемся мире кибербезопасности серверы управления и контроля (C2) играют ключевую роль. Эти серверы играют ключевую роль во многих кибератаках и играют важную роль в непрекращающемся противостоянии наступающих и обороняющихся сторон. Чтобы оценить современные инструменты, такие как C2 Tracker, давайте взглянем на историю и развитие C2-серверов.Ранние дни
История C2-серверов началась на заре Интернета, в 1990-х годах. Хакеры использовали каналы IRC (Internet Relay Chat) в качестве своих первых базовых командных центров. Заражённые компьютеры подключались к этим IRC-каналам, где злоумышленники могли напрямую отправлять команды. Вредоносное ПО на скомпрометированных системах затем выполняло эти команды.На следующем рисунке показана связь бота Hoaxcalls C2 с его сервером C2 через IRC.
Эра Интернета и искусство вписаться
По мере совершенствования методов обнаружения злоумышленники меняли тактику. В начале 2000-х годов они начали использовать веб-системы управления (C2). Используя HTTP и HTTPS, злоумышленники могли скрывать свой C2-трафик под видом обычного просмотра веб-страниц. Поскольку веб-трафик был повсюду, этот метод был эффективным способом замаскировать свои вредоносные действия.Использование простых веб-серверов для управления командными системами также упростило задачу злоумышленников. Этот период ознаменовал собой значительный шаг вперёд в развитии методов управления, открыв путь для ещё более продвинутых техник.
Децентрализация: одноранговая революция
В середине 2000-х годов системы управления (C2) претерпели серьёзные изменения в связи с развитием одноранговых (P2P) сетей. Это изменение позволило решить проблему уязвимости централизованных серверов, которые были лёгкой добычей для правоохранительных органов и служб безопасности.В системах командного управления P2P зараженные компьютеры взаимодействуют друг с другом, передавая команды и похищая данные. Такая децентрализованная структура значительно затрудняла отключение сети. Такие примеры, как ботнет Storm и более поздние версии ботнета Waledac, показали, насколько сложно бороться с этой моделью, что побудило экспертов по кибербезопасности искать новые способы обнаружения и противодействия этим угрозам.
Машины, зараженные ботнетом Storm:
Скрываясь на виду: эпоха социальных сетей и облачных технологий
В 2010-х годах развитие социальных сетей и облачных сервисов привело к новым изменениям в тактике командного управления (C2). Киберзлоумышленники быстро начали использовать такие платформы, как Twitter, Google Docs и GitHub, для своих C2-операций. Это значительно затруднило обнаружение вредоносной активности, поскольку команды могли быть скрыты в обычных твитах или документах. Кроме того, использование крупных облачных провайдеров повысило надежность и устойчивость их операций.Современный ландшафт C2
Современные системы командного управления (C2) используют передовые методы обхода блокировки, чтобы избежать обнаружения. Использование доменных имён позволяет скрыть вредоносный трафик за легитимными сайтами с высокой репутацией. Сети Fast Flux постоянно меняют IP-адреса, связанные с доменами C2, что затрудняет их блокировку. Некоторые злоумышленники даже используют стеганографию, чтобы скрывать команды в изображениях или других, на первый взгляд, безобидных файлах.Один из последних трендов — системы управления на основе блокчейна, которые используют криптовалютные сети для скрытой связи. Этот подход использует преимущества децентрализованности и анонимности блокчейна, создавая новые сложности для отслеживания и выявления подобных угроз.
Схемы транзакций блокчейна, используемые ботнетом Glupteba
Рост популярности инструментов отслеживания C2
Учитывая, что серверы командного управления играют столь важную роль в кибератаках, разработка эффективных инструментов отслеживания стала особенно важной. Анализируя, как разные злоумышленники настраивают свои системы командного управления, эти инструменты дают представление об их тактике и возможностях. Это помогает связывать атаки с конкретными группами и отслеживать изменения в методах с течением времени.Кроме того, эти данные помогают в проактивном поиске угроз, позволяя службам безопасности искать признаки взаимодействия командных центров (C2) в своих сетях и находить скрытые уязвимости. В более широком смысле, инструменты отслеживания C2 предоставляют ценную информацию правоохранительным органам и исследователям в области кибербезопасности, помогая им проводить операции по устранению угроз и разрабатывать новые стратегии защиты.
C2 Трекер
C2 Tracker — это бесплатный, поддерживаемый сообществом канал IOC, который использует поиск Shodan и Censys для сбора IP-адресов известных вредоносных программ, ботнетов иинфраструктуры C2.
Этот канал доступен на GitHub и обновляется еженедельно. Вы можете посмотреть результаты.
здесь: https://github.com/montysecurity/C2-Tracker/tree/main/data
Инструмент отслеживает обширный список угроз, включая:
- Фреймворки C2 : Cobalt Strike, Metasploit, Covenant, Mythic, Brute Ratel C4 и многие другие.
- Вредоносное ПО : разнообразные похитители, RAT и трояны, такие как AcidRain Stealer, Quasar RAT, ShadowPad и DarkComet.
- Инструменты для взлома : криптомайнер XMRig Monero, GoPhish, Browser Exploitation Framework (BeEF) и другие.
- Ботнеты : включая 7777, BlackNET, Doxerina и Scarab.
kali> git clone https://github.com/montysecurity/C2-Tracker.git
kalI> cd C2-Tracker
kali> vim .env
Добавьте свой ключ API Shodan как переменную среды SHODAN_API_KEY и настройте учетные данные Censys с помощью CENSYS_API_ID и CENSYS_API_SECRET.
kali> python3 -m pip install -r requirements.txt
kali> python3 tracker.py
В каталоге данных вы можете увидеть результаты:
Давайте рассмотрим некоторые IP-адреса серверов GoPhish.
Shodan показывает, что порт по умолчанию 3333 открыт.
Открыв, мы видим форму авторизации.
Теперь перейдем к нашей главной цели — поиску серверов управления и контроля (C2).
Например, давайте рассмотрим IP-адреса Cobalt Strike.
У нас 827 результатов!
Каждый из этих IP-адресов представляет собой сервер Cobalt Strike C2.
