Comando e controllo

Command and Control (C2) sono fondamentali per gli aggressori per mantenere il controllo sui sistemi compromessi, indirizzandoli verso l'esecuzione di attività dannose o l'esfiltrazione di dati. Queste comunicazioni rappresentano una fase critica del ciclo di vita dell'attacco, consentendo un accesso persistente e furtivo all'ambiente della vittima. Questa guida sottolinea l'importanza di identificare e interrompere le comunicazioni C2 per mitigare le minacce e salvaguardare le risorse organizzative.

Capire come gli attaccanti utilizzano i canali di Command and Control

In qualsiasi attacco basato sulla rete, l'aggressore si affida a un canale di comando e controllo (C2) per eseguire le proprie azioni. Distribuendo un software dannoso su un computer host, stabilisce una connessione con un server esterno. Sorprendentemente, sono le istruzioni ricevute dal server esterno a dettare le azioni intraprese dal computer host infetto, consentendo all'aggressore di portare avanti l'attacco.

Gli strumenti di comando e controllo, come Cobalt Strike e Metasploit, sono comunemente utilizzati dagli aggressori. Questi strumenti supportano la crittografia del canale e utilizzano tecniche come il domain fronting e il session jitter per eludere il rilevamento.

‍

Rilevamento di Command and Control indipendentemente dalla crittografia

Vectra AI adotta un approccio diverso al rilevamento dei canali di comando e controllo. Indipendentemente dalle tecniche di crittografia o di elusione, l'approccio alla sicurezza di Vectra garantisce il rilevamento. Invece di affidarsi a un approccio matematico, il team di ricerca sulla sicurezza di Vectra si concentra sui modelli di comportamento.

Studiando il comportamento di un canale di comando e controllo, il team di Vectra ha individuato gli indicatori più chiari nella forma del traffico di rete nel tempo. Analizzando queste serie temporali di dati, i data scientist di Vectra hanno utilizzato modelli di deep learning, in particolare LSTM (memoria a breve termine), che eccellono nella comprensione degli eventi su diverse scale temporali. Ciò consente a Vectra di identificare efficacemente la natura di una conversazione di comando e controllo, indipendentemente dagli strumenti specifici utilizzati.

Come si presenta il traffico normale?

Consideriamo un esempio rappresentativo di traffico benigno proveniente da un sistema esterno.

Nell'esempio precedente, vediamo una macchina host che invia segnali regolari a un server esterno. Questi segnali, noti come beacon, sono comunemente utilizzati da vari servizi per mantenere i sistemi connessi e comunicare in modo efficace.

Tuttavia, i beacon possono essere sfruttati anche per scopi dannosi. È importante capire le sottili differenze tra un uso legittimo dei beacon, come ad esempio nei ticker azionari o nelle app di chat, e quando vengono utilizzati per canali di comando e controllo malevoli.

Che aspetto ha il traffico sospetto?

Esploriamo un caso specifico di tunnel crittografato malevolo per comprendere meglio il concetto:

Osservate gli schemi distinti nel grafico qui sopra? Questi picchi indicano l'invio dei comandi dell'aggressore e la risposta del sistema infetto. Il picco iniziale di "byte ricevuti" si verifica senza alcuna richiesta ed è immediatamente seguito dalla reazione della macchina infetta.

Analizzando questi modelli, i data scientist di Vectra hanno scoperto un modo efficace per riconoscere questo comportamento. I dati delle serie temporali che rappresentano il comportamento del canale di comando e controllo presentano analogie con i dati utilizzati nel riconoscimento vocale e nell'elaborazione del linguaggio naturale. Questa somiglianza ha portato il team ad adottare un modello di deep learning per l'identificazione.

Vectra utilizza un potente tipo di rete neurale nota come LSTM (memoria a breve termine) per rilevare i comportamenti di attacco. Questa architettura specializzata è in grado di analizzare gli eventi su più archi temporali, consentendo una comprensione completa dei dati delle conversazioni di comando e controllo. L'LSTM è addestrato su una vasta gamma di campioni reali e generati da algoritmi, che catturano vari scenari, strumenti, configurazioni e ambienti. Di conseguenza, il modello è in grado di identificare i modelli generali indicativi di un canale di controllo, indipendentemente dagli strumenti specifici utilizzati.

L'approccio algoritmico utilizzato in questa analisi è stato reso possibile dal modo in cui Vectra formatta i dati delle sessioni di rete. Sebbene Vectra sia in grado di fornire metadati simili a quelli di Zeek, il suo parser personalizzato va oltre le capacità standard di Zeek, offrendo un'analisi delle comunicazioni di rete a intervalli inferiori al secondo. Questo livello di dettaglio consente una chiara visibilità delle comunicazioni sia benigne che dannose, permettendo ai team di data science di Vectra di utilizzare gli algoritmi più efficaci per un'ampia gamma di problemi.

La combinazione di metadati unici e algoritmi sofisticati consente a Vectra di identificare efficacemente gli aggressori. Concentrandosi sui dati di comunicazione stessi, piuttosto che sui segnali di superficie, questo approccio rimane resistente ai cambiamenti degli strumenti degli aggressori e persino al traffico crittografato. Inoltre, il segnale di comportamento chiaro elimina la necessità di filtri di soppressione che potrebbero inavvertitamente filtrare informazioni importanti o azioni furtive dell'attaccante.

Command and Control Le comunicazioni sono la chiave di volta degli attacchi informatici e richiedono strategie proattive di rilevamento e interruzione. Vectra AI offre soluzioni avanzate che consentono ai team di sicurezza di rilevare, indagare e neutralizzare le minacce C2 in tempo reale. Contattateci oggi stesso per migliorare la vostra difesa contro i sofisticati avversari informatici e proteggere le vostre risorse critiche.