Hackers: Qu'est-ce que C2 ou C&C ?
Infrastructure de commandement et de contrôle expliquée
Par: Robert Grimmick
Dernière mise à jour le 26 avril 2021
Une cyberattaque réussie ne consiste pas seulement à mettre le pied dans la porte d'une organisation sans méfiance. Pour être réellement utile, l'attaquant doit maintenir la persistance dans l'environnement cible, communiquer avec les appareils infectés ou compromis à l'intérieur du réseau et potentiellement exfiltrer les données sensibles. La clé pour accomplir toutes ces tâches est une infrastructure de commandement et de contrôle robuste ou « C2 ». Qu'est-ce que C2 ? Dans cet article, nous répondrons à cette question et verrons comment les adversaires utilisent ces canaux de communication secrets pour mener des attaques hautement sophistiquées. Nous verrons également comment repérer et se défendre contre les attaques basées sur C2.
Qu'est-ce que C2 ?
L'infrastructure de commandement et de contrôle, également connue sous le nom de C2 ou C&C, est l'ensemble d'outils et de techniques que les attaquants utilisent pour maintenir la communication avec les appareils compromis après l'exploitation initiale. Les mécanismes spécifiques varient considérablement d'une attaque à l'autre, mais C2 consiste généralement en un ou plusieurs canaux de communication secrets entre les appareils d'une organisation victime et une plate-forme contrôlée par l'attaquant. Ces canaux de communication sont utilisés pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires et rediriger les données volées vers l'adversaire.
C2 se présente sous de nombreuses formes différentes. Au moment de la rédaction, le cadre MITRE ATT&CK répertorie 16 techniques de commandement et de contrôle différentes, chacune avec un certain nombre de sous-techniques qui ont été observées lors de cyberattaques passées. Une stratégie courante consiste à se fondre dans d'autres types de trafic légitime pouvant être utilisés dans l'organisation cible, tels que HTTP/HTTPS ou DNS. Les attaquants peuvent prendre d'autres mesures pour dissimuler leurs rappels C&C, comme l'utilisation du cryptage ou des types inhabituels de codage de données.
code c2
Les plates-formes de commande et de contrôle peuvent être des solutions entièrement personnalisées ou des produits prêts à l'emploi. Les plates-formes populaires utilisées par les criminels et les testeurs d'intrusion incluent Cobalt Strike, Covenant, Powershell Empire et Armitage.
Vous pouvez également entendre un certain nombre de termes à côté de C2 ou C&C :
Qu'est-ce qu'un zombie ?
Un zombie est un ordinateur ou un autre type d'appareil connecté qui a été infecté par une forme de logiciel malveillant et peut être contrôlé à distance par une partie malveillante à l'insu du propriétaire réel ou sans son consentement. Alors que certains virus, chevaux de Troie et autres programmes indésirables effectuent des actions spécifiques après avoir infecté un appareil, de nombreux types de logiciels malveillants existent principalement pour ouvrir une voie vers l'infrastructure C2 de l'attaquant. Ces machines « zombies » peuvent ensuite être piratées pour effectuer un certain nombre de tâches, du relais de courrier indésirable à la participation à des attaques par déni de service distribué (DDoS) à grande échelle.
Qu'est-ce qu'un botnet ?
Un botnet est un ensemble de machines zombies qui sont enrôlées dans un but illicite commun. Cela peut aller de l'extraction de crypto-monnaie à la mise hors ligne d'un site Web via une attaque par déni de service distribué (DDoS). Les botnets sont généralement réunis autour d'une infrastructure C2 commune. Il est également courant que les pirates vendent l'accès aux botnets à d'autres criminels dans le cadre d'une sorte d'« attaque en tant que service ».
Qu'est-ce que le balisage ?
Le balisage fait référence au processus par lequel un appareil infecté téléphone à l'infrastructure C2 d'un attaquant pour rechercher des instructions ou des charges utiles supplémentaires, souvent à intervalles réguliers. Pour éviter d'être détectés, certains types de balises malveillantes émettent des balises à intervalles aléatoires ou peuvent rester en veille pendant un certain temps avant de téléphoner à la maison.
Que peuvent accomplir les pirates avec une infrastructure de commandement et de contrôle ?
Objectifs du hacker c2
La plupart des organisations ont des défenses périmétriques assez efficaces qui rendent difficile pour un adversaire d'initier une connexion du monde extérieur dans le réseau de l'organisation sans être détecté. Cependant, la communication sortante n'est souvent pas aussi fortement surveillée ou restreinte. Cela signifie que les logiciels malveillants introduits via un canal différent – par exemple un e-mail de phishing ou un site Web compromis – peuvent souvent établir un canal de communication dans la direction sortante qui serait autrement impossible. Avec ce canal ouvert, un pirate peut effectuer des actions supplémentaires, telles que :
Se déplacer latéralement dans une organisation de victimes
Une fois qu'un attaquant a pris pied, il cherchera généralement à se déplacer latéralement dans toute l'organisation, en utilisant ses canaux C2 pour renvoyer des informations sur d'autres hôtes qui peuvent être vulnérables ou mal configurés. La première machine compromise n'est peut-être pas une cible précieuse, mais elle sert de rampe de lancement pour accéder aux parties les plus sensibles du réseau. Ce processus peut être répété plusieurs fois jusqu'à ce que l'attaquant accède à une cible de grande valeur comme un serveur de fichiers ou un contrôleur de domaine.
Attaques en plusieurs étapes
Les cyberattaques les plus complexes sont souvent composées de plusieurs étapes distinctes. Souvent, l'infection initiale consiste en un « dropper ou un téléchargeur qui rappelle l'infrastructure C2 de l'adversaire et télécharge des charges utiles malveillantes supplémentaires. Cette architecture modulaire permet à un attaquant de mener des campagnes à la fois largement distribuées et très ciblées. Le compte-gouttes(dropper) peut infecter des milliers d'organisations, permettant à l'attaquant d'être sélectif et de créer des logiciels malveillants personnalisés de deuxième étape pour les cibles les plus lucratives. Ce modèle permet également toute une industrie décentralisée de la cybercriminalité. Un groupe d'accès initial peut vendre l'accès à une cible principale comme une banque ou un hôpital à un gang de ransomware, par exemple.
Exfiltrer les données
Les canaux C2 sont souvent bidirectionnels, ce qui signifie qu'un attaquant peut télécharger ou « exfiltrer » des données de l'environnement cible en plus d'envoyer des instructions aux hôtes compromis. Les données volées peuvent être des documents militaires classifiés, des numéros de carte de crédit ou des informations personnelles, selon l'organisation de la victime. De plus en plus, les gangs de ransomware utilisent l'exfiltration de données comme tactique supplémentaire pour extorquer leurs cibles ; même si l'organisation peut récupérer des données à partir de sauvegardes, les criminels menaceront de divulguer des informations volées et potentiellement embarrassantes.
Autres utilisations
Comme indiqué précédemment, les botnets sont fréquemment utilisés pour lancer des attaques DDoS contre des sites Web et d'autres services. Les instructions sur les sites à attaquer sont fournies via C2. D'autres types d'instructions peuvent également être envoyées aux machines zombies via C2. Par exemple, de grands botnets de crypto mining ont été identifiés. Des utilisations encore plus exotiques ont été théorisées, allant de l'utilisation de commandes C2 pour perturber les élections(Donald Trump peut-etre) ou manipuler les marchés de l'énergie.
Modèles de commandement et de contrôle
Bien qu'il existe une grande variété d'options pour la mise en œuvre de C2, l'architecture entre les logiciels malveillants et la plate-forme C2 ressemblera généralement à l'un des modèles suivants :
Centralisé
Un modèle de commande et de contrôle centralisé fonctionne un peu comme la relation client-serveur traditionnelle. Un « client » malveillant téléphonera à un serveur C2 et vérifiera les instructions. En pratique, l'infrastructure côté serveur d'un attaquant est souvent beaucoup plus complexe qu'un serveur unique et peut inclure des redirecteurs, des équilibreurs de charge et des mesures de défense pour détecter les chercheurs en sécurité et les forces de l'ordre. Les services de cloud public et les réseaux de diffusion de contenu (CDN) sont fréquemment utilisés pour héberger ou masquer l'activité C2. Il est également courant que les pirates informatiques compromettent des sites Web légitimes et les utilisent pour héberger des serveurs de commande et de contrôle à l'insu du propriétaire.
L'activité C2 est souvent découverte assez rapidement et les domaines et serveurs associés à une campagne peuvent être supprimés dans les heures suivant leur première utilisation. Pour lutter contre cela, les logiciels malveillants modernes sont souvent codés avec une liste de nombreux serveurs C2 différents à essayer d'atteindre. Les attaques les plus sophistiquées introduisent des couches supplémentaires d'obscurcissement. Des logiciels malveillants ont été observés en train de récupérer une liste de serveurs C2 à partir des coordonnées GPS intégrées dans les photos et des commentaires sur Instagram.
Peer-to-Peer (P2P)
Dans un modèle P2P C&C, les instructions de commande et de contrôle sont fournies de manière décentralisée, les membres d'un botnet relayant les messages entre eux. Certains des robots peuvent toujours fonctionner comme des serveurs, mais il n'y a pas de nœud central ou « maître ». Cela rend la perturbation beaucoup plus difficile qu'un modèle centralisé, mais peut également compliquer la tâche de l'attaquant pour envoyer des instructions à l'ensemble du botnet. Les réseaux P2P sont parfois utilisés comme mécanisme de secours en cas de perturbation du canal C2 principal.
Hors bande et aléatoire
Un certain nombre de techniques inhabituelles ont été observées pour donner des instructions aux hôtes infectés. Les pirates informatiques ont largement utilisé les plateformes de médias sociaux en tant que plateformes C2 non conventionnelles, car elles sont rarement bloquées. Un projet appelé Twittor vise à fournir une plate-forme de commande et de contrôle entièrement fonctionnelle en utilisant uniquement des messages directs sur Twitter. Des pirates informatiques ont également été observés en train d'utiliser Gmail, des salles de discussion IRC et même Pinterest pour envoyer des messages C&C à des hôtes compromis. Il a également été émis l'hypothèse que l'infrastructure de commande et de contrôle pourrait être entièrement aléatoire, avec un attaquant analysant de larges pans d'Internet dans l'espoir de trouver un hôte infecté.
Détection et prévention du trafic de commandement et de contrôle
comment empêcher le piratage c2
Le trafic C2 peut être notoirement difficile à détecter, car les attaquants font de grands efforts pour éviter d'être remarqués. Cependant, il existe une formidable opportunité pour les défenseurs, car perturber C2 peut empêcher une infection par un logiciel malveillant de se transformer en un incident plus grave comme une violation de données. En fait, de nombreuses cyberattaques à grande échelle ont été initialement découvertes lorsque les chercheurs ont remarqué une activité C2. Voici quelques techniques générales pour détecter et arrêter le trafic de commande et de contrôle dans votre propre réseau :
Surveiller et filtrer le trafic sortant
De nombreuses organisations accordent peu d'attention au trafic sortant de leur réseau, se concentrant plutôt sur les menaces contenues dans le trafic entrant. Ce manque de sensibilisation facilite les activités de commandement et de contrôle d'un attaquant. Soigneusement des règles de pare-feu de sortie conçues peuvent aider à entraver la capacité d'un adversaire à ouvrir des canaux de communication secrets. Par exemple, limiter les requêtes DNS sortantes aux seuls serveurs contrôlés par l'organisation peut réduire la menace du tunnelage DNS. Les proxys peuvent être utilisés pour inspecter le trafic Web sortant, mais les utilisateurs doivent veiller à configurer l'inspection SSL/TLS, car les pirates ont adopté le cryptage avec le reste du Web. Les services de filtrage DNS peuvent également être utilisés pour empêcher les rappels C2 vers des domaines suspects ou nouvellement enregistrés.
Surveillez les balises
Les balises peuvent être un signe révélateur d'une activité de commandement et de contrôle au sein de votre réseau, mais elles sont souvent difficiles à repérer. La plupart des solutions IDS/IPS prendront en charge les balises associées à des frameworks standard comme Metasploit et Cobalt Strike, mais celles-ci peuvent facilement être personnalisées par les attaquants pour rendre la détection beaucoup plus difficile. Pour une analyse plus approfondie du trafic réseau (NTA), un outil comme RITA peut être utilisé. Dans certains cas, les équipes de chasse aux menaces iront jusqu'à inspecter manuellement les vidages de paquets à l'aide d'un outil comme Wireshark ou tcpdump.
Journaliser et inspecter
enregistrer et inspecter le code
La collecte de fichiers journaux à partir d'autant de sources que possible est vitale lors de la recherche de signes de trafic de commandement et de contrôle. Souvent, une analyse approfondie est nécessaire pour faire la distinction entre le trafic C2 et les applications légitimes. Les analystes de sécurité peuvent avoir besoin de rechercher des modèles inhabituels, d'examiner les charges utiles de requêtes HTTPS ou DNS apparemment bénignes et d'effectuer d'autres types d'analyses statistiques. Plus le volume d'informations avec lequel l'analyste ou le chasseur de menaces doit travailler est important, mieux c'est. La journalisation à distance et les solutions SIEM peuvent vous aider dans cette tâche.
Corréler les données de plusieurs sources
Tout l'intérêt du maintien d'une infrastructure de commande et de contrôle est d'effectuer une action spécifique comme accéder à des fichiers importants ou infecter plus d'hôtes. La chasse aux activités C&C du point de vue des données et du réseau augmente la probabilité de découvrir des cyberattaques bien camouflées. C'est exactement l'approche adoptée par Varonis Edge, vous offrant la visibilité approfondie requise pour tout repérer, des menaces internes aux groupes APT(hackers).
Conclusion
L'infrastructure de commandement et de contrôle est essentielle pour les attaquants et représente une opportunité pour les défenseurs. Le blocage du trafic C&C ou le démantèlement de l'infrastructure C2 d'un adversaire peut mettre un terme à une cyberattaque. La lutte contre le C2 ne devrait jamais être le seul objectif d'une organisation et devrait faire partie d'un programme de sécurité de l'information plus large qui comprend de bonnes pratiques de « cyberhygiène », une formation de sensibilisation à la sécurité pour les employés et des politiques et procédures bien pensées. Ces mesures peuvent grandement contribuer à atténuer la menace posée par l'infrastructure de commandement et de contrôle.
REF.: Robert Grimmick
https://www.varonis.com/blog/what-is-c2
