Commandement et contrôle

Command and Control (C2) sont essentielles pour permettre aux attaquants de garder le contrôle des systèmes compromis et de les diriger pour exécuter des activités malveillantes ou exfiltrer des données. Ces communications représentent une phase critique du cycle de vie de l'attaque, permettant un accès furtif et persistant à l'environnement de la victime. Ce guide souligne l'importance d'identifier et de perturber les communications C2 afin d'atténuer les menaces et de protéger les biens de l'organisation.

Comprendre comment les attaquants utilisent les canaux de Command & Control

Dans toute attaque basée sur un réseau, l'attaquant s'appuie sur un canal de commande et de contrôle (C2) pour mener à bien ses actions. En déployant un logiciel malveillant sur une machine hôte, il établit une connexion avec un serveur externe. Étonnamment, ce sont les instructions reçues du serveur externe qui dictent les actions prises par la machine hôte infectée, permettant ainsi à l'attaquant de progresser dans son attaque.

Les outils de commande et de contrôle, tels que Cobalt Strike et Metasploit, sont couramment utilisés par les attaquants. Ces outils prennent en charge le cryptage du canal et emploient des techniques telles que le domain fronting et la session jitter pour échapper à la détection.

‍

Détecter le Command & Control sans décrypter

Vectra AI adopte une approche différente pour détecter les canaux de commande et de contrôle. Quelles que soient les techniques de cryptage ou d'évasion, l'approche de Vectra, axée sur la sécurité, garantit la détection. Plutôt que de s'appuyer sur une approche mathématique, l'équipe de recherche en sécurité de Vectra se concentre sur les modèles de comportement.

En étudiant le comportement d'un canal de commande et de contrôle, l'équipe de Vectra a identifié que les indicateurs les plus clairs se trouvent dans la forme du trafic réseau au fil du temps. En analysant ces données chronologiques, les data scientists de Vectra ont utilisé des modèles d'apprentissage profond, en particulier des LSTM (mémoire à long terme), qui excellent dans la compréhension d'événements à différentes échelles de temps. Cela permet à Vectra d'identifier efficacement la nature d'une conversation de commande et de contrôle, quels que soient les outils spécifiques utilisés.

À quoi ressemble un trafic normal ?

Voici un exemple représentatif d'un trafic bénin provenant d'un système externe.

Dans l'exemple ci-dessus, nous voyons une machine hôte envoyer des signaux réguliers à un serveur externe. Ces signaux, connus sous le nom de balises, sont couramment utilisés par divers services pour maintenir les systèmes connectés et communiquer efficacement.

Cependant, les balises peuvent également être exploitées à des fins malveillantes. Il est important de comprendre les différences subtiles entre une utilisation légitime des balises, comme dans les téléscripteurs ou les applications de chat, et leur utilisation pour des canaux de commande et de contrôle malveillants.

À quoi ressemble un trafic suspect ?

Pour mieux comprendre le concept, examinons un cas spécifique de tunnel crypté malveillant :

Observez-vous des schémas distincts dans le graphique ci-dessus ? Ces pics indiquent que les commandes de l'attaquant sont envoyées et que le système infecté réagit. Le pic initial de "réception d'octets" se produit sans aucune invite et est immédiatement suivi par la réaction de la machine infectée.

En analysant ces modèles, les scientifiques des données de Vectra ont découvert un moyen efficace de reconnaître ce comportement. Les données de séries temporelles qui représentent le comportement du canal de commande et de contrôle présentent des similitudes avec les données utilisées dans la reconnaissance vocale et le traitement du langage naturel. Cette similitude a conduit l'équipe à adopter un modèle d'apprentissage profond pour l'identification.

Vectra utilise un puissant type de réseau neuronal connu sous le nom de LSTM (mémoire à long terme) pour détecter les comportements d'attaque. Cette architecture spécialisée est capable d'analyser des événements sur plusieurs périodes, ce qui permet une compréhension complète des données des conversations de commandement et de contrôle. La LSTM est entraînée sur un large éventail d'échantillons réels et générés par des algorithmes, qui reflètent divers scénarios, outils, configurations et environnements. En conséquence, le modèle est capable d'identifier les schémas généraux indiquant un canal de contrôle, indépendamment des outils spécifiques utilisés.

L'approche algorithmique utilisée dans cette analyse a été rendue possible par la façon dont Vectra formate les données des sessions réseau. Bien que Vectra puisse fournir des métadonnées de type Zeek, son analyseur personnalisé va au-delà des capacités standard de Zeek en offrant une analyse des communications réseau à intervalles de moins d'une seconde. Ce niveau de détail permet une visibilité claire des communications bénignes et malveillantes, ce qui permet aux équipes de science des données de Vectra d'utiliser les algorithmes les plus efficaces pour un large éventail de problèmes.

La combinaison de métadonnées uniques et d'algorithmes sophistiqués permet à Vectra d'identifier efficacement les attaquants. En se concentrant sur les données de communication elles-mêmes, plutôt que sur les signaux de surface, cette approche résiste aux changements dans les outils des attaquants et même au trafic crypté. En outre, le signal de comportement clair élimine le besoin de filtres de suppression qui peuvent par inadvertance filtrer des informations importantes ou des actions furtives de l'attaquant.

Command and Control Les communications C2 sont la pierre angulaire des cyberattaques et nécessitent des stratégies proactives de détection et de perturbation. Vectra AI offre des solutions avancées qui permettent aux équipes de sécurité de détecter, d'enquêter et de neutraliser les menaces C2 en temps réel. Contactez-nous dès aujourd'hui pour améliorer votre défense contre les cyber-attaquants sophistiqués et protéger vos actifs critiques.