Le commandement et le contrôle sont au cœur des attaques modernes. Une fois qu’un attaquant a accédé à un système, il doit pouvoir le contrôler. Ce contrôle repose sur la capacité d’un élément compromis à se connecter à l’infrastructure de l’attaquant, à récupérer des instructions et à exécuter des actions. Le commandement et le contrôle (C2) permettent de maintenir l’attaque opérationnelle, du début de l’attaque jusqu’à ses conséquences.
C'est pourquoi il est si important de contourner les mécanismes de commande et de contrôle.
Les frameworks C2 modernes ne se limitent pas à des canaux cryptés transportant des charges utiles manifestement malveillantes. Ils sont conçus de telle sorte que la communication elle-même semble tout à fait ordinaire, à l'instar du trafic vers n'importe quel site web classique. Un profil malléable configuré pour ressembler à un service web courant ne trahit pas les intentions de l'attaquant une fois décrypté. Le trafic peut toujours paraître banal. La charge utile peut toujours sembler ambiguë. La réponse peut toujours ressembler au comportement normal d'une application.
C'est pourquoi le décryptage ne permet pas de détecter et de neutraliser les cyberattaques modernes.
Le déchiffrement part du principe que si les défenseurs parviennent à lire le trafic, ils sont en mesure d'identifier la menace. Cette hypothèse ne tient pas face aux systèmes C2 modernes. Une fois le trafic déchiffré, il n'y a souvent aucune signature explicite indiquant « ceci relève du contrôle de l'attaquant ». Aucune commande évidente. Aucun marqueur de charge utile distinct. Aucun moment précis de la session où le trafic se révèle comme malveillant. L'attaquant n'a pas besoin que le trafic reste dissimulé. Il lui suffit simplement qu'il ne semble pas menaçant.
C'est là le cœur du problème. Le décryptage révèle le contenu, mais les systèmes C2 modernes sont conçus de telle sorte que ce contenu ne génère pas de signal de détection fiable.
La réputation du domaine ne résout pas non plus le problème.
Les pirates ont de plus en plus souvent recours à des domaines réputés, exploitent des infrastructures bien établies ou opèrent à partir cloud public où leur trafic se fond dans les volumes massifs d'activité légitime des applications. Les domaines peu courants constituent des signaux bruyants, avec potentiellement des dizaines de nouveaux sites externes contactés chaque jour au sein d'une entreprise. L'espace Cloud doit souvent être considéré comme fiable, car l'activité de l'entreprise en dépend. Par conséquent, la confiance basée sur la destination n'est plus un moyen fiable d'identifier les systèmes de commande et de contrôle.
Le langage C2 moderne remet en cause ces deux hypothèses à la fois.
Le déchiffrement ne fonctionne pas car il n'existe aucune signature fiable de la charge utile.
Le système de réputation ne fonctionne pas car il n'y a pas de signal de destination fiable.
À quel point les techniques de contournement du C2 sont-elles devenues sophistiquées ?
Les frameworks ont perfectionné leurs techniques de contournement, allant au-delà du chiffrement et des mesures de réputation.
D'autres outils de surveillance du réseau peuvent se concentrer sur le signal caractéristique de la régularité d'un appel de commande et de contrôle, par exemple une balise. Un système compromis enverrait des messages à des intervalles prévisibles, créant ainsi un rythme identifiable. Ce rythme peut s'avérer utile, car un contrôle constant engendre une répétition, et la répétition génère un signal.
Cette approche présente toutefois deux points faibles.
Les balises elles-mêmes déclenchent de nombreux outils inoffensifs, comme la vérification d'un EDR ou la mise à jour d'un fil d'actualités boursières. Le fait de déclencher une alerte à chaque balise peut générer des centaines d'alertes par jour au sein d'une entreprise. Des astuces telles que le filtrage par rareté ne réduisent que partiellement le bruit, en raison à la fois de la rareté des destinations et du risque de masquage des signaux de menace lorsque les attaquants utilisent des adresses IP publiques.
D'autre part, les infrastructures d'attaque modernes masquent désormais directement ce signal caractéristique, échappant ainsi totalement aux outils qui se contentent de rechercher des balises.
Les outils d'attaque modifient la fréquence des rappels. Ils suspendent les rappels pendant un certain temps. Ils rompent la cohérence sur laquelle les défenseurs se sont toujours appuyés, tout en permettant à l'attaquant de garder le contrôle.
Le framework Sliver illustre bien la sophistication des techniques de contournement, car celles-ci ne se limitent pas à la variation de synchronisation. Il applique également une variation agressive des données via des mécanismes tels que la rotation multicouche des URI et sélectionne de manière aléatoire un encodeur parmi ceux de Sliver afin de modifier l'apparence des données transmises, ce qui perturbe la cohérence du nombre d'octets entre les rappels. Contrairement à de nombreux frameworks où ces techniques de contournement sont facultatives, la variation des données de Sliver est toujours activée et suffisamment stratifiée pour déjouer les hypothèses basées sur des balises plus simples.
Cela est important car cela élimine l'un des derniers indicateurs évidents dont disposaient encore les défenseurs, alors que la visibilité sur la charge utile et la confiance dans la destination avaient déjà été affaiblies.
Autrefois, une méthode de détection plus simple consistait à rechercher des rappels fréquents, des intervalles fixes ou des schémas de session répétitifs. Les systèmes C2 modernes sont conçus précisément pour déjouer ces hypothèses. Il ne reste alors plus de signature claire permettant de les repérer. Il s'agit d'un schéma de contrôle bien plus ténu et subtil, qui ne se révèle qu'au fil du temps.
Et pourtant, malgré toutes ces esquives, une chose reste inchangée.
Un canal C2 existe toujours pour permettre à un pirate de contrôler un système. Cela signifie que le système compromis doit continuer à se connecter pour recevoir des instructions et maintenir le contrôle. Le système infecté établit une communication avec un serveur contrôlé par le pirate.
Les pirates peuvent dissimuler certains aspects de leurs activités, mais ils ne peuvent pas supprimer le besoin de contrôle ni le signal distinctif que ce contrôle génère.
Le signal qui compte
Dans le domaine du C2 moderne, ce n'est ni la charge utile, ni le domaine, ni un flux suspect isolé qui constitue le signal le plus fort.
Il s'agit des tendances statistiques du comportement de contrôle telles qu'elles se manifestent au fil du temps.
Lorsqu'on utilise un système de commande et de contrôle, on observe un subtil renversement de contrôle par rapport au trafic standard. Cela reste vrai même lorsque les données utiles sont ambiguës, que les destinations semblent fiables et que le timing des rappels est fortement manipulé.
Ce signal n'est pas visible à l'œil nu. Il n'apparaît pas dans un seul paquet ou une seule transaction. Il se manifeste à travers les événements de rappel et les flux. Il se manifeste dans la relation entre l'initiateur de la communication, la manière dont celle-ci évolue et la façon dont le schéma de contrôle persiste même lorsque l'attaquant modifie les caractéristiques de surface.
C'est pourquoi la détection moderne des menaces C2 n'est pas un problème d'inspection. C'est un problème de modélisation.
Le défi ne consiste pas à déchiffrer davantage de trafic. Le défi consiste à identifier le schéma de contrôle sous-jacent qui subsiste malgré le chiffrement, les profils d'apparence inoffensive, les infrastructures réputées, cloud public, la randomisation des numéros de rappel et le silence.
Comment Vectra AI le problème de l'IA
Vectra AI conçu pour détecter ce signe plus subtil de contrôle.
Nous ne nous appuyons pas sur le décryptage pour déterminer les intentions de l'attaquant. Nous ne nous fions pas à la réputation d'un domaine pour conclure qu'une destination est malveillante. Nous ne nous basons pas uniquement sur une conception rigide de la régularité des balises. Au contraire, Vectra AI sur les indicateurs comportementaux des systèmes de commande et de contrôle qui persistent dans le temps, quelle que soit la manière dont l'attaquant tente de dissimuler le canal.
Cela nécessite une approche de modélisation adaptée.
Pour détecter ce signal subtil, Vectra AI et déploie, dans les environnements de ses clients, un modèle de séquence compact qui combine un LSTM et une couche d'auto-attention. Cette conception reprend le mécanisme le plus utile popularisé par les modèles linguistiques modernes, à savoir l'attention, tout en conservant une architecture axée sur le comportement des réseaux séquentiels et suffisamment compacte pour être déployée directement sur les capteurs.
Le modèle a été entraîné en deux étapes. Dans un premier temps, il a appris à partir de vastes volumes de données de télémétrie réseau non étiquetées afin de comprendre la structure de base des communications normales sans dépendre entièrement d'exemples étiquetés manuellement. Cette étape de pré-entraînement a permis au modèle de développer une représentation du comportement du trafic inoffensif au fil du temps. Il a ensuite été affiné à l'aide d'échantillons C2 malveillants générés à l'aide d'une infrastructure de laboratoire d'attaques automatisée et d'échantillons réels couvrant l'espace de configuration et de profil des outils disponibles et des frameworks C2 personnalisés, combinés à des échantillons de trafic bénin, afin qu'il puisse distinguer les schémas de contrôle subtils qui subsistent même lorsque les attaquants randomisent le timing, varient la taille de la charge utile, font tourner les URI ou tentent par d'autres moyens de briser les signatures de balisage évidentes.
Avec plus de 6 millions de paramètres, contre environ 110 millions pour un modèle BERT de base de petite taille, ce modèle reste suffisamment compact pour fonctionner dans les environnements des clients, même ceux isolés physiquement, tout en capturant des structures comportementales à plus grande échelle.
Cela est important car une détection efficace du C2 ne consiste pas à repérer un indicateur statique dans une charge utile ou à signaler une destination suspecte. Il s'agit plutôt de reconnaître le profil comportemental du contrôle qui persiste derrière ces manœuvres d'évasion.
Vectra AI les systèmes de commande et de contrôle (C2) modernes sans recourir au décryptage, sans se fonder sur la réputation de la destination et sans se limiter aux signaux de balisage classiques que les attaquants modernes ont délibérément affaiblis.
La preuve de l'efficacité de cette approche réside avant tout dans sa validation auprès de l'ensemble de notre clientèle, où elle a permis de mettre au jour d'innombrables attaques réelles et de signaler des opérations de « red team » que d'autres outils n'avaient pas pu détecter en raison de ces techniques d'évasion, le tout sans générer de bruit excessif susceptible de masquer le signal.
Et ce n'est qu'une partie de l'histoire.
Aucune attaque ne s'arrête au niveau du canal C2. Le commandement et le contrôle ouvrent la voie à la suite des opérations : reconnaissance, déplacement latéral, élévation des privilèges, persistance, accès aux données et exfiltration, ainsi cloud . Vectra AI cette approche comportementale, pilotée par l'IA, à l'ensemble de ces comportements, en corrélant les signaux entre les différentes techniques, à travers le réseau, les identités et le cloud détecter et cloud bloquer les attaques réelles.
Pour en savoir plus sur le Silver C2 de Vectra, consultez notre analyse détaillée ici :
Pour commencer à bloquer les menaces cryptées dans votre environnement, Demander une démo.