Commandement et contrôle
Aperçu de la situation
- Une étude de Palo Alto Networks a révélé que plus de 90 % des malware détectés utilisaient une forme ou une autre de communication C2 pour rendre compte à l'attaquant.
- Selon le Data Breach Investigations Report de Verizon, près de 70 % des violations impliquent une forme ou une autre d'activité C2, ce qui met en évidence son rôle dans les cyberattaques.
Les communications de Command and Control (C2) sont essentielles pour permettre aux attaquants de garder le contrôle des systèmes compromis et de les diriger pour exécuter des activités malveillantes ou exfiltrer des données. Ces communications représentent une phase critique du cycle de vie de l'attaque, permettant un accès furtif et persistant à l'environnement de la victime. Ce guide souligne l'importance d'identifier et de perturber les communications C2 afin d'atténuer les menaces et de protéger les biens de l'organisation.
Comprendre comment les attaquants utilisent les canaux de Command & Control
Dans toute attaque basée sur un réseau, l'attaquant s'appuie sur un canal de commande et de contrôle (C2) pour mener à bien ses actions. En déployant un logiciel malveillant sur une machine hôte, il établit une connexion avec un serveur externe. Étonnamment, ce sont les instructions reçues du serveur externe qui dictent les actions prises par la machine hôte infectée, permettant ainsi à l'attaquant de progresser dans son attaque.
Les outils de commande et de contrôle, tels que Cobalt Strike et Metasploit, sont couramment utilisés par les attaquants. Ces outils prennent en charge le cryptage du canal et emploient des techniques telles que le domain fronting et la session jitter pour échapper à la détection.
Détecter le Command & Control sans décrypter
Vectra AI adopte une approche différente pour détecter les canaux de commande et de contrôle. Quelles que soient les techniques de cryptage ou d'évasion, l'approche de Vectra, axée sur la sécurité, garantit la détection. Plutôt que de s'appuyer sur une approche mathématique, l'équipe de recherche en sécurité de Vectra se concentre sur les modèles de comportement.
En étudiant le comportement d'un canal de commande et de contrôle, l'équipe de Vectra a identifié que les indicateurs les plus clairs se trouvent dans la forme du trafic réseau au fil du temps. En analysant ces données chronologiques, les data scientists de Vectra ont utilisé des modèles d'apprentissage profond, en particulier des LSTM (mémoire à long terme), qui excellent dans la compréhension d'événements à différentes échelles de temps. Cela permet à Vectra d'identifier efficacement la nature d'une conversation de commande et de contrôle, quels que soient les outils spécifiques utilisés.
À quoi ressemble un trafic normal ?
Voici un exemple représentatif d'un trafic bénin provenant d'un système externe.
Dans l'exemple ci-dessus, nous voyons une machine hôte envoyer des signaux réguliers à un serveur externe. Ces signaux, connus sous le nom de balises, sont couramment utilisés par divers services pour maintenir les systèmes connectés et communiquer efficacement.
Cependant, les balises peuvent également être exploitées à des fins malveillantes. Il est important de comprendre les différences subtiles entre une utilisation légitime des balises, comme dans les téléscripteurs ou les applications de chat, et leur utilisation pour des canaux de commande et de contrôle malveillants.
À quoi ressemble un trafic suspect ?
Pour mieux comprendre le concept, examinons un cas spécifique de tunnel crypté malveillant :
Observez-vous des schémas distincts dans le graphique ci-dessus ? Ces pics indiquent que les commandes de l'attaquant sont envoyées et que le système infecté réagit. Le pic initial de "réception d'octets" se produit sans aucune invite et est immédiatement suivi par la réaction de la machine infectée.
En analysant ces modèles, les scientifiques des données de Vectra ont découvert un moyen efficace de reconnaître ce comportement. Les données de séries temporelles qui représentent le comportement du canal de commande et de contrôle présentent des similitudes avec les données utilisées dans la reconnaissance vocale et le traitement du langage naturel. Cette similitude a conduit l'équipe à adopter un modèle d'apprentissage profond pour l'identification.
Vectra utilise un puissant type de réseau neuronal connu sous le nom de LSTM (mémoire à long terme) pour détecter les comportements d'attaque. Cette architecture spécialisée est capable d'analyser des événements sur plusieurs périodes, ce qui permet une compréhension complète des données des conversations de commandement et de contrôle. La LSTM est entraînée sur un large éventail d'échantillons réels et générés par des algorithmes, qui reflètent divers scénarios, outils, configurations et environnements. En conséquence, le modèle est capable d'identifier les schémas généraux indiquant un canal de contrôle, indépendamment des outils spécifiques utilisés.
L'approche algorithmique utilisée dans cette analyse a été rendue possible par la façon dont Vectra formate les données des sessions réseau. Bien que Vectra puisse fournir des métadonnées de type Zeek, son analyseur personnalisé va au-delà des capacités standard de Zeek en offrant une analyse des communications réseau à intervalles de moins d'une seconde. Ce niveau de détail permet une visibilité claire des communications bénignes et malveillantes, ce qui permet aux équipes de science des données de Vectra d'utiliser les algorithmes les plus efficaces pour un large éventail de problèmes.
La combinaison de métadonnées uniques et d'algorithmes sophistiqués permet à Vectra d'identifier efficacement les attaquants. En se concentrant sur les données de communication elles-mêmes, plutôt que sur les signaux de surface, cette approche résiste aux changements dans les outils des attaquants et même au trafic crypté. En outre, le signal de comportement clair élimine le besoin de filtres de suppression qui peuvent par inadvertance filtrer des informations importantes ou des actions furtives de l'attaquant.
Les communications de Command and Control sont la pierre angulaire des cyberattaques, nécessitant une détection proactive et des stratégies de perturbation. Vectra AI propose des solutions avancées qui permettent aux équipes de sécurité de détecter, d'enquêter et de neutraliser les menaces C2 en temps réel. Contactez-nous dès aujourd'hui pour renforcer votre défense contre les cyber-attaquants sophistiqués et protéger vos actifs critiques.
Plus d'informations sur les fondamentaux de la cybersécurité
Foire aux questions
Que sont les communications de Command and Control (C2) ?
Les communications C2 sont des méthodes utilisées par les attaquants pour maintenir la communication avec des systèmes compromis au sein d'un réseau cible. Ces canaux permettent aux attaquants de donner des ordres, de voler des données et de déployer d'autres malware.
Comment fonctionnent les communications C2 ?
Les communications C2 fonctionnent généralement en établissant une connexion à distance entre le serveur de l'attaquant et le système compromis. Cela peut se faire par le biais de divers protocoles tels que HTTP, HTTPS, DNS ou des protocoles personnalisés.
Pourquoi la détection des communications C2 est-elle difficile ?
La détection des communications C2 est difficile en raison de leur nature souvent furtive, de l'utilisation du cryptage et de l'imitation du trafic réseau légitime, ce qui leur permet d'échapper aux méthodes de détection traditionnelles.
Quels sont les indicateurs courants de l'activité C2 ?
Les indicateurs les plus courants sont un trafic sortant inhabituel, des connexions répétées aux mêmes adresses IP ou domaines, des flux de données irréguliers et des adresses IP ou domaines malveillants connus.
Comment les organisations peuvent-elles détecter et interrompre les communications C2 ?
Les organisations peuvent utiliser une combinaison de endpoint de détection et de réponse (EDR), d'analyse du trafic réseau (NTA ou NDR), de systèmes de détection d'intrusion (IDS) et de flux de renseignements sur les menaces pour détecter les anomalies et les schémas C2 connus.
Quel rôle jouent les renseignements sur les menaces dans l'identification des communications C2 ?
Les renseignements sur les menaces fournissent des informations sur les adresses IP, les domaines et les signatures malveillants connus associés aux communications C2, ce qui permet aux équipes de sécurité d'identifier et de bloquer plus efficacement ces menaces.
Comment les attaquants dissimulent-ils les communications C2 ?
Les attaquants dissimulent les communications C2 en utilisant des techniques telles que les algorithmes de génération de domaine (DGA), les réseaux de flux rapides et le cryptage pour dissimuler leur trafic au sein de l'activité normale du réseau.
Le sandboxing peut-il aider à identifier les communications C2 ?
Oui, le sandboxing peut aider à identifier les communications C2 en isolant les fichiers ou URL suspects dans un environnement contrôlé afin d'observer leur comportement, y compris les tentatives d'établissement de connexions à distance.
Quelles sont les conséquences des communications C2 non contrôlées ?
Les communications C2 non contrôlées peuvent entraîner des violations de données, des pertes financières, des perturbations opérationnelles et la compromission à long terme de l'infrastructure du réseau.
Quelle est l'importance de la réponse aux incidents dans le contexte des communications C2 ?
La réponse aux incidents est essentielle pour contenir et atténuer les dommages causés par les communications C2. Une réponse rapide peut empêcher l'exfiltration de données, la propagation de malware et la compromission d'autres systèmes.