De C2 à C3 : les pirates informatiques deviennent ésotériques lorsqu'ils couvrent des empreintes de pas, appellent chez eux.

 

 De C2 à C3 : les pirates informatiques deviennent ésotériques lorsqu'ils couvrent des empreintes de pas, appellent chez eux.

Facebook Twitter LinkedIn Tumblr Pinterest Reddit
C2 à C3

Pour de nombreux professionnels de l'informatique qui ne se concentrent pas étroitement sur l'espace de sécurité de l'information, un récent blog de FireEye détaillant les techniques utilisées par les affiliés du syndicat de ransomware DarkSide dans l'attaque Colonial Pipeline était le premier qu'ils avaient entendu parler du cadre C3 - une commande et un contrôle personnalisés. plate-forme pour les professionnels de la sécurité offensive qui a été publiée pour la première fois publiquement par F-Secure Labs en septembre 2019.

Un groupe de menaces surnommé « UNC2628 » utilisait le cadre C3 pour masquer leur trafic d'origine, en faisant passer par procuration les communications de commande et de contrôle (C2) via l'API Slack, a déclaré FireEye, ajoutant que « sur la base des autres TTP de cet acteur, ils [également] utilisaient probablement C3 pour brouiller le trafic Cobalt Strike BEACON. (Cobalt Strike est un produit de test de pénétration commercial largement utilisé par les cybercriminels également, qui permet à un attaquant de déployer un agent nommé « Beacon » sur la machine victime avec de nombreuses fonctionnalités coquines.)

Avec C3 capable d'aider les attaquants à utiliser même les imprimantes en réseau comme canal C2, les responsables de la sécurisation des entreprises devraient surveiller de près l'évolution des techniques C2. (F-Secure a quelques conseils sur la recherche de C3, y compris via des requêtes DNS anormales pour les domaines Slack, des processus anormaux, etc. ici.)
C2 à C3 : les chaînes « ésotériques » se généralisent.

Pour les non-initiés, lorsqu'un logiciel malveillant infecte un hôte vulnérable, il initie généralement un canal de commande et de contrôle (C2) avec son créateur qui peut être utilisé pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires ou être utilisé comme canal bidirectionnel pour exfiltrer les données volées lors de l'attaque.

En effet, comme le note F-Secure, la mise en place de C2 est « sans doute l'une des parties les plus importantes de la chaîne de cyber kill car sans elle, les charges utiles livrées avec succès fonctionnent à l'aveugle, ne peuvent pas fournir de pivot au niveau du réseau et d'interaction en temps quasi réel ». . En conséquence, des organisations bien défendues ont imposé des contrôles de plus en plus stricts sur les types de communications autorisées à partir de leurs systèmes.

(L'importance de l'identification défensive de C2 est reflétée dans deux des colonnes du cadre MITRE ATT&CK : « Command and Control » et « Exfiltration » ; bien qu'aucune ne semble avoir été mise à jour depuis 2019. Quelqu'un nous corrige si nous nous trompons : c'est troublant si n'étaient pas.)

Être capable de détecter les canaux C2, en bref, est une grande partie du livre de jeu de la cybersécurité et généralement un élément important des « indicateurs de compromission » (IOC) signalés après une attaque. (Les hackers de Colonial Pipeline ayant déployé un outil open source avec une « interface facile et intuitive qui permet aux utilisateurs de former des chemins complexes lors de simulations contradictoires » pour cacher leur activité ne devraient pas surprendre : de Cobalt Strike à Mimikatz ou Bloodhound, les outils de sécurité offensifs commerciaux ou open source sont souvent également une partie importante du livre de jeu de la cybercriminalité, et les équipes informatiques doivent en être bien conscientes.)

Une caractéristique clé de C3 est la possibilité d'étendre le réseau à l'aide de vecteurs non traditionnels. Ce réseau peut être composé de divers supports de communication (voir : imprimantes), peut contenir des chemins de routage complexes et permet d'intégrer la redondance à la volée, note le guide C3 de F-Secure.
De C2 à C3 : les attaquants utilisent l'API Slack, Telegram et PowerAutomate de Microsoft pour pirater votre merde.

Le schéma simplifié à gauche donne un exemple simple d'utilisation de C3, avec le relais "Slack" utilisé pour acheminer le trafic pour le relais "Fileshare", qui a une balise CobaltStrike en mémoire. Comme le note F-Secure : « Dans ce cas, l'envoi d'une commande à la balise via Cobalt Strike oblige la passerelle à envoyer un message via Slack. Le relais « Slack » lit ce message, comprend qu'il est destiné à être transmis et écrit le message sur le canal UncShareFile. Enfin, le relais « Fileshare » lit ce message et l'écrit dans la balise SMB. (Les RSSI et leurs équipes doivent être conscients de ce genre de choses…)
Que peuvent faire les défenseurs ?

Bharat Mistry, directeur technique chez Trend Micro, a affirmé à The Stack qu'il voyait des configurations C2 plus sophistiquées devenir populaires à mesure que les organisations surveillaient mieux les canaux réseau pour les protocoles obscurs et les ports non standard, c'est-à-dire en tant qu'indicateurs potentiels de communications malveillantes qui signalent un enfreindre.

Il a déclaré : « Les cybercriminels ont commencé à camoufler leurs canaux C2 et C3 dans des protocoles essentiels standard nécessaires pour communiquer avec des services externes comme http, https, DNS, smtp et des applications couramment utilisées comme Slack et Teams. Un moyen efficace de contrer cela est de penser à déployer une technologie d'inspection approfondie des paquets au niveau des parties critiques de la couche réseau telles que le périmètre pour capturer le trafic Nord-Sud et également entre les utilisateurs et les services qu'ils consomment à partir des serveurs d'applications situés dans le centre de données plus sait communément comme trafic Est-Ouest ou latéral. 

 Mistry a ajouté: «Ces capteurs devraient avoir la capacité de capturer et de réassembler tous les paquets, ce qui donne aux défenseurs la possibilité d'examiner la charge utile à l'intérieur et d'utiliser des capacités avancées telles que l'apprentissage automatique, l'heuristique et l'analyse comportementale pour déterminer si le protocole ou le service est abusé dans d'une certaine manière. 

Les données de ces capteurs peuvent être analysées plus avant dans un lac de données où les analyses peuvent être utilisées pour déterminer les modèles de trafic normaux et anormaux, ce qui donne une meilleure idée de ce qui se passe dans l'environnement. "Mais à mesure que les services et les protocoles évoluent et que nous assistons à un basculement vers le trafic crypté, ce type d'inspection et de surveillance est plus difficile et est encore compliqué par l'utilisation de services cloud." George Glass, responsable de la Threat Intelligence chez Redscan, a déclaré : « Les acteurs de la menace passent une partie importante de leur temps à gérer et à renforcer leur infrastructure C2 pour faciliter les opérations de phishing, de logiciels malveillants et de ransomware à grande échelle. En règle générale, ils utiliseront différents canaux à différentes étapes de leurs attaques, comme lors du déploiement de logiciels malveillants de deuxième étape, de l'accès à distance et de l'exfiltration de données.

 Il a ajouté : « Une tactique courante pour de nombreuses souches de logiciels malveillants consiste à compromettre les sites Web et à les utiliser pour héberger des charges utiles de logiciels malveillants de deuxième étape. Cela implique généralement d'exploiter en masse les systèmes CMS tels que WordPress et de cacher les fichiers malveillants dans le système de fichiers de chaque site, permettant aux chargeurs de logiciels malveillants qu'ils déploient de choisir l'étape suivante parmi un nombre quelconque d'hôtes compromis. Cela permet également aux attaquants de contourner les empreintes digitales et la catégorisation du site Web utilisées par les proxys. 

 Et il n'y a pas que le C3 de F-Secure, a-t-il noté : « Il existe d'innombrables frameworks C2 disponibles qui utilisent différents outils open source, des logiciels de qualité commerciale et des applications telles que Telegram, WhatsApp et Twitter. Les acteurs menaçants qui peuvent cacher leurs communications C2 peuvent rester plus longtemps sur les réseaux cibles, gagnant ainsi une plus grande liberté pour atteindre leurs objectifs. (Avec Cobalt Strike lui-même coûtant 3 500 $ par utilisateur pour une licence d'un an et les cybercriminels – inutile de le dire – désireux d'éviter de s'identifier par le biais de paiements commerciaux, cela peut créer des opportunités pour les défenseurs, a noté Glass. 

Comme il l'a dit : « La plupart des acteurs de la menace utilisez des versions divulguées ou craquées de ce logiciel qui peuvent rendre l'activité plus facile à identifier. ») Tim Wade, directeur technique de l'équipe CTO chez Vectra AI, a ajouté : Nous avons vu des adversaires… [également] utiliser Microsoft PowerAutomate pour créer des workflows malveillants personnalisés, ou déployer de nouveaux droppers en mémoire pour échapper à l'analyse basée sur des fichiers. 

Pour détecter l'activité C2, les équipes de sécurité doivent rechercher les intersections entre les activités autorisées mais suspectes, et les comportements qu'un adversaire adoptera dans le cadre d'une attaque en cours. Il peut s'agir d'examiner des facteurs tels que la manière dont la persistance sera atteinte ou de surveiller les principaux blocages qui doivent être franchis pour que l'attaquant passe de l'accès initial à son objectif final. 

C'est la clé comme souvent, l'établissement du canal C2 n'est que le pari d'ouverture, et les attaquants devront se déplacer latéralement ou élever leurs privilèges avant la fin du jeu, qui consiste généralement à voler des données ou à perturber les opérations. 

 RSSI : commencez à discuter de ce problème avec vos partenaires de sécurité et les professionnels de la sécurité interne. Comme le note Vectra dans un rapport cette semaine sur les détections de menaces pour Microsoft Azure AD et Office 365, « le niveau de compétence et de concentration requis pour contourner proprement les contrôles des points de terminaison est un hommage aux avancées récentes en matière de détection et de réponse des points de terminaison. Cependant, c'est aussi un rappel qu'un adversaire déterminé et sophistiqué sera toujours en mesure de contourner la prévention et les contrôles des points finaux. » Les défenseurs doivent être tout aussi créatifs.

 

REF.:   https://thestack.technology/from-c2-to-c3/