Comando e controllo

Le comunicazioni Command and Control C2) sono fondamentali per gli aggressori per mantenere il controllo sui sistemi compromessi, indirizzandoli verso l'esecuzione di attività dannose o l'esfiltrazione di dati. Queste comunicazioni rappresentano una fase critica nel ciclo di vita dell'attacco, consentendo un accesso persistente e furtivo all'ambiente della vittima. Questa guida sottolinea l'importanza di identificare e interrompere le comunicazioni C2 per mitigare le minacce e salvaguardare le risorse dell'organizzazione.

Comprendere come gli aggressori utilizzano Command and Control

In qualsiasi attacco basato sulla rete, l'autore dell'attacco si affida a un canale di comando e controllo (C2) per eseguire le proprie azioni. Distribuendo software dannoso su una macchina host, stabilisce una connessione con un server esterno. Sorprendentemente, sono le istruzioni ricevute dal server esterno a dettare le azioni intraprese dalla macchina host infetta, consentendo all'autore dell'attacco di portare avanti il proprio attacco.

Strumenti di comando e controllo, come Cobalt Strike e Metasploit, sono comunemente utilizzati dagli aggressori. Questi strumenti supportano la crittografia del canale e impiegano tecniche come il domain fronting e il session jitter per eludere il rilevamento.

‍

Rilevamento Command and Control dalla crittografia

Vectra AI un approccio diverso per rilevare i canali di comando e controllo. Indipendentemente dalle tecniche di crittografia o di evasione, l'approccio basato sulla sicurezza di Vectra garantisce il rilevamento. Anziché affidarsi a un approccio matematico, il team di ricerca sulla sicurezza di Vectra si concentra sui modelli di comportamento.

Dopo aver studiato il comportamento di un canale di comando e controllo, il team di Vectra ha identificato che gli indicatori più chiari risiedono nella forma del traffico di rete nel tempo. Analizzando questi dati temporali, i data scientist di Vectra hanno utilizzato modelli di deep learning, in particolare LSTM (long short-term memory), che eccellono nella comprensione di eventi su scale temporali diverse. Ciò consente a Vectra di identificare efficacemente la natura di una conversazione di comando e controllo, indipendentemente dagli strumenti specifici utilizzati.

Come si presenta il traffico normale?

Si consideri un esempio rappresentativo di traffico benigno proveniente da un sistema esterno riportato di seguito.

Nell'esempio sopra riportato, vediamo una macchina host che invia segnali regolari a un server esterno. Questi segnali, noti come beacon, sono comunemente utilizzati da vari servizi per mantenere i sistemi connessi e comunicare in modo efficace.

Tuttavia, i beacon possono anche essere sfruttati per scopi dannosi. È importante comprendere le sottili differenze tra un uso legittimo dei beacon, come nei ticker di borsa o nelle app di chat, e il loro utilizzo per canali di comando e controllo dannosi.

Come si presenta il traffico sospetto?

Esaminiamo un caso specifico di tunnel crittografato dannoso per comprendere meglio il concetto:

Notate i modelli distinti nel grafico sopra? Questi picchi indicano l'invio dei comandi dell'autore dell'attacco e la risposta del sistema infetto. Il picco iniziale in "byte ricevuti" si verifica senza alcun preavviso ed è immediatamente seguito dalla reazione della macchina infetta.

Analizzando questi modelli, i data scientist di Vectra hanno scoperto un modo efficace per riconoscere questo comportamento. I dati temporali che rappresentano il comportamento del canale di comando e controllo presentano somiglianze con i dati utilizzati nel riconoscimento vocale e nell'elaborazione del linguaggio naturale. Questa somiglianza ha portato il team ad adottare un modello di deep learning per l'identificazione.

Vectra utilizza un potente tipo di rete neurale nota come LSTM (long short-term memory) per rilevare i comportamenti di attacco. Questa architettura specializzata è in grado di analizzare eventi su più intervalli di tempo, consentendo una comprensione completa dei dati relativi alle conversazioni di comando e controllo. L'LSTM viene addestrato su una vasta gamma di campioni reali e generati algoritmicamente, catturando vari scenari, strumenti, configurazioni e ambienti. Di conseguenza, il modello è in grado di identificare i modelli generali indicativi di un canale di controllo, indipendentemente dagli strumenti specifici utilizzati.

L'approccio algoritmico utilizzato in questa analisi è stato reso possibile grazie al modo in cui Vectra formatta i dati delle sessioni di rete. Sebbene Vectra sia in grado di fornire metadati simili a quelli di Zeek, il suo parser personalizzato va oltre le capacità standard di Zeek, offrendo un'analisi delle comunicazioni di rete con intervalli inferiori al secondo. Questo livello di dettaglio consente una chiara visibilità sia delle comunicazioni innocue che di quelle dannose, consentendo ai team di data science di Vectra di utilizzare gli algoritmi più efficaci per un'ampia gamma di problemi.

La combinazione di metadati unici e algoritmi sofisticati consente a Vectra di identificare efficacemente gli aggressori. Concentrandosi sui dati di comunicazione stessi, piuttosto che solo sui segnali superficiali, questo approccio rimane resiliente ai cambiamenti negli strumenti degli aggressori e persino al traffico crittografato. Inoltre, il chiaro segnale comportamentale elimina la necessità di filtri di soppressione che potrebbero inavvertitamente filtrare informazioni importanti o azioni furtive degli aggressori.

Command and Control sono un elemento fondamentale degli attacchi informatici e richiedono strategie proattive di rilevamento e interruzione. Vectra AI soluzioni avanzate che consentono ai team di sicurezza di rilevare, indagare e neutralizzare le minacce C2 in tempo reale. Contattateci oggi stesso per migliorare la vostra difesa contro sofisticati avversari informatici e proteggere le vostre risorse critiche.