Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé C2. Afficher tous les messages
Aucun message portant le libellé C2. Afficher tous les messages

mercredi 12 janvier 2022

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

IBM X-Force IRIS a frapper fort: Les pirates cachent la communication Malware C2

Les pirates cachent la communication Malware C2 en simulant le trafic du site d'actualités
Par Ionut Ilascu

    18 mars 2020 17:06 0

Un groupe de cyberespionnage actif depuis au moins 2012 a utilisé un outil légitime pour protéger sa porte dérobée des tentatives d'analyse afin d'éviter la détection. Dans leur effort, les pirates ont également utilisé un faux en-tête d'hôte nommé d'après un site d'information connu.

La porte dérobée est désignée par les noms Spark et EnigmaSpark et a été déployée dans une récente campagne de phishing qui semble avoir été l'œuvre du groupe MoleRATs, la division à petit budget du Gaza Cybergang. Il s'agit de l'acteur responsable de l'opération SneakyPastes, détaillée par Kaspersky, qui s'appuyait sur des logiciels malveillants hébergés sur des services de partage gratuits comme GitHub et Pastebin.

Il existe de fortes indications que le groupe a utilisé cette porte dérobée depuis mars 2017, déployant des dizaines de variantes qui ont contacté au moins 15 domaines de commandement et de contrôle.

Des chercheurs de plusieurs cybersécurité ont suivi les campagnes de cet acteur menaçant et ont analysé les logiciels malveillants, les tactiques et l'infrastructure utilisés dans les attaques.
Tactiques d'évasion

L'acteur menaçant a tenté de masquer les signes de compromission à l'aide du logiciel Enigma Protector (on peut trouver sur 01Net)- un outil légitime pour "protéger les fichiers exécutables contre la copie, le piratage, la modification et l'analyse illégaux".

Sur la base des cibles observées et du thème des documents utilisés pour les leurres, cela ressemble à une attaque à motivation politique visant les arabophones intéressés par l'acceptation potentielle par la Palestine du plan de paix.

"Les adversaires utilisant EnigmaSpark se sont probablement appuyés sur l'intérêt important des destinataires pour les événements régionaux ou la peur anticipée suscitée par le contenu falsifié, illustrant comment les adversaires peuvent exploiter les événements géopolitiques en cours pour permettre une cyberactivité malveillante" - IBM X-Force Incident Response and Intelligence Services (IRIS)

La chaîne d'infection menant à l'installation de la porte dérobée EnigmaSpark a commencé avec la livraison d'un document Microsoft Word malveillant. Le fichier est écrit en arabe et invite le destinataire à activer l'édition pour afficher le contenu.

Les chercheurs ont découvert que le document obtient à partir d'un lien Google Drive(donc aucune détection par Google) un modèle Word malveillant intégré avec une macro pour fournir la charge utile finale "runawy.exe".
source : IBM X-Force IRIS

Pour protéger l'opération, les pirates ont ajouté des défenses telles que la protection de la macro avec un mot de passe et l'application d'un schéma de codage base64 sur la porte dérobée, qui était également stockée sur Google Drive.

De plus, le binaire du malware était emballé avec Enigma Protector qui ajoute une certaine résistance aux tentatives de piratage et de craquage.

Une autre précaution de la part des pirates est l'utilisation d'un faux en-tête d'hôte dans la requête HTTP‌ POST qui fournit des informations sur le système de la victime au serveur de commande et de contrôle (C2), qui était « nysura].[com. » Cependant, l'en-tête indique « cnet ].[com' comme destination.
Dénominateur commun

Une enquête X-Force (IRIS) a révélé que l'attaquant a utilisé cette technique avec d'autres binaires. Après avoir décompressé « runawy.exe », ils ont remarqué que le fichier résultant était le même que « blaster.exe », un binaire fourni par un exécutable compressé par Themida, un autre outil légitime qui ajoute une protection contre l'inspection ou la modification d'une application compilée.

Plusieurs fichiers ont été découverts car ils avaient en commun la chaîne unique « S4.4P » et le signataire du certificat cryptographique « tg1678A4 » : Wordeditor.exe, Blaster.exe (la version décompressée de runawy.exe et soundcloud.exe), HelpPane.exe , et taskmanager.exe.

Dans le cas de Blaster, la même astuce avec le faux en-tête d'hôte a été utilisée que dans le cas de « runawy », mais le véritable serveur de destination était différent (« webtutorialz[.]com »).
source : IBM X-Force IRIS
Recherche précédente

Le fichier binaire « runawy.exe », son serveur C2 et la chaîne unique ont déjà été documentés par des chercheurs d'autres sociétés de cybersécurité.

L'équipe Nocturnus de Cybereason a publié le 12 février une analyse technique de la porte dérobée Spark, détaillant les capacités du malware :

    Recueillir des informations sur l'hôte victime
    Cryptez les données collectées et envoyez-les aux attaquants via le protocole HTTP
    Télécharger d'autres charges utiles
    Enregistrez les frappes Enregistrez le son à l'aide du microphone intégré du système
    Exécuter des commandes sur la machine infectée

Au début du mois, Palo Alto Networks a détaillé la même charge utile runawy contenant Enigma qui a été livrée à l'aide d'un document Word les 31 octobre et 2 novembre 2019.

La porte dérobée Spark a été initialement documentée par des chercheurs de la société de cybersécurité Qi An Xin basée à Pékin, avec une version anglaise de la recherche publiée le 14 février 2019.

Les chercheurs de toutes ces entreprises attribuent la porte dérobée Spark au groupe MoleRATs, connu pour utiliser des logiciels malveillants disponibles sur les forums de hackers. Cependant, ils développent également des outils personnalisés, tels que Spark.


REF.:  https://www.bleepingcomputer.com/news/security/hackers-hide-malware-c2-communication-by-faking-news-site-traffic/

Hackers: Qu'est-ce que C2 ou C&C ? 

 

 Hackers: Qu'est-ce que C2 ou C&C ?

Infrastructure de commandement et de contrôle expliquée
Par: Robert Grimmick


Dernière mise à jour le 26 avril 2021 



Une cyberattaque réussie ne consiste pas seulement à mettre le pied dans la porte d'une organisation sans méfiance. Pour être réellement utile, l'attaquant doit maintenir la persistance dans l'environnement cible, communiquer avec les appareils infectés ou compromis à l'intérieur du réseau et potentiellement exfiltrer les données sensibles. La clé pour accomplir toutes ces tâches est une infrastructure de commandement et de contrôle robuste ou « C2 ». Qu'est-ce que C2 ? Dans cet article, nous répondrons à cette question et verrons comment les adversaires utilisent ces canaux de communication secrets pour mener des attaques hautement sophistiquées. Nous verrons également comment repérer et se défendre contre les attaques basées sur C2.
Qu'est-ce que C2 ?

L'infrastructure de commandement et de contrôle, également connue sous le nom de C2 ou C&C, est l'ensemble d'outils et de techniques que les attaquants utilisent pour maintenir la communication avec les appareils compromis après l'exploitation initiale. Les mécanismes spécifiques varient considérablement d'une attaque à l'autre, mais C2 consiste généralement en un ou plusieurs canaux de communication secrets entre les appareils d'une organisation victime et une plate-forme contrôlée par l'attaquant. Ces canaux de communication sont utilisés pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires et rediriger les données volées vers l'adversaire.

C2 se présente sous de nombreuses formes différentes. Au moment de la rédaction, le cadre MITRE ATT&CK répertorie 16 techniques de commandement et de contrôle différentes, chacune avec un certain nombre de sous-techniques qui ont été observées lors de cyberattaques passées. Une stratégie courante consiste à se fondre dans d'autres types de trafic légitime pouvant être utilisés dans l'organisation cible, tels que HTTP/HTTPS ou DNS. Les attaquants peuvent prendre d'autres mesures pour dissimuler leurs rappels C&C, comme l'utilisation du cryptage ou des types inhabituels de codage de données.

code c2

Les plates-formes de commande et de contrôle peuvent être des solutions entièrement personnalisées ou des produits prêts à l'emploi. Les plates-formes populaires utilisées par les criminels et les testeurs d'intrusion incluent Cobalt Strike, Covenant, Powershell Empire et Armitage.

Vous pouvez également entendre un certain nombre de termes à côté de C2 ou C&C :
Qu'est-ce qu'un zombie ?

Un zombie est un ordinateur ou un autre type d'appareil connecté qui a été infecté par une forme de logiciel malveillant et peut être contrôlé à distance par une partie malveillante à l'insu du propriétaire réel ou sans son consentement. Alors que certains virus, chevaux de Troie et autres programmes indésirables effectuent des actions spécifiques après avoir infecté un appareil, de nombreux types de logiciels malveillants existent principalement pour ouvrir une voie vers l'infrastructure C2 de l'attaquant. Ces machines « zombies » peuvent ensuite être piratées pour effectuer un certain nombre de tâches, du relais de courrier indésirable à la participation à des attaques par déni de service distribué (DDoS) à grande échelle.
Qu'est-ce qu'un botnet ?

Un botnet est un ensemble de machines zombies qui sont enrôlées dans un but illicite commun. Cela peut aller de l'extraction de crypto-monnaie à la mise hors ligne d'un site Web via une attaque par déni de service distribué (DDoS). Les botnets sont généralement réunis autour d'une infrastructure C2 commune. Il est également courant que les pirates vendent l'accès aux botnets à d'autres criminels dans le cadre d'une sorte d'« attaque en tant que service ».
Qu'est-ce que le balisage ?

Le balisage fait référence au processus par lequel un appareil infecté téléphone à l'infrastructure C2 d'un attaquant pour rechercher des instructions ou des charges utiles supplémentaires, souvent à intervalles réguliers. Pour éviter d'être détectés, certains types de balises malveillantes émettent des balises à intervalles aléatoires ou peuvent rester en veille pendant un certain temps avant de téléphoner à la maison.
Que peuvent accomplir les pirates avec une infrastructure de commandement et de contrôle ?

Objectifs du hacker c2

 La plupart des organisations ont des défenses périmétriques assez efficaces qui rendent difficile pour un adversaire d'initier une connexion du monde extérieur dans le réseau de l'organisation sans être détecté. Cependant, la communication sortante n'est souvent pas aussi fortement surveillée ou restreinte. Cela signifie que les logiciels malveillants introduits via un canal différent – ​​par exemple un e-mail de phishing ou un site Web compromis – peuvent souvent établir un canal de communication dans la direction sortante qui serait autrement impossible. Avec ce canal ouvert, un pirate peut effectuer des actions supplémentaires, telles que :
Se déplacer latéralement dans une organisation de victimes

Une fois qu'un attaquant a pris pied, il cherchera généralement à se déplacer latéralement dans toute l'organisation, en utilisant ses canaux C2 pour renvoyer des informations sur d'autres hôtes qui peuvent être vulnérables ou mal configurés. La première machine compromise n'est peut-être pas une cible précieuse, mais elle sert de rampe de lancement pour accéder aux parties les plus sensibles du réseau. Ce processus peut être répété plusieurs fois jusqu'à ce que l'attaquant accède à une cible de grande valeur comme un serveur de fichiers ou un contrôleur de domaine.
Attaques en plusieurs étapes

Les cyberattaques les plus complexes sont souvent composées de plusieurs étapes distinctes. Souvent, l'infection initiale consiste en un « dropper ou un téléchargeur qui rappelle l'infrastructure C2 de l'adversaire et télécharge des charges utiles malveillantes supplémentaires. Cette architecture modulaire permet à un attaquant de mener des campagnes à la fois largement distribuées et très ciblées. Le compte-gouttes(dropper) peut infecter des milliers d'organisations, permettant à l'attaquant d'être sélectif et de créer des logiciels malveillants personnalisés de deuxième étape pour les cibles les plus lucratives. Ce modèle permet également toute une industrie décentralisée de la cybercriminalité. Un groupe d'accès initial peut vendre l'accès à une cible principale comme une banque ou un hôpital à un gang de ransomware, par exemple.
Exfiltrer les données

Les canaux C2 sont souvent bidirectionnels, ce qui signifie qu'un attaquant peut télécharger ou « exfiltrer » des données de l'environnement cible en plus d'envoyer des instructions aux hôtes compromis. Les données volées peuvent être des documents militaires classifiés, des numéros de carte de crédit ou des informations personnelles, selon l'organisation de la victime. De plus en plus, les gangs de ransomware utilisent l'exfiltration de données comme tactique supplémentaire pour extorquer leurs cibles ; même si l'organisation peut récupérer des données à partir de sauvegardes, les criminels menaceront de divulguer des informations volées et potentiellement embarrassantes.
Autres utilisations

Comme indiqué précédemment, les botnets sont fréquemment utilisés pour lancer des attaques DDoS contre des sites Web et d'autres services. Les instructions sur les sites à attaquer sont fournies via C2. D'autres types d'instructions peuvent également être envoyées aux machines zombies via C2. Par exemple, de grands botnets de crypto mining ont été identifiés. Des utilisations encore plus exotiques ont été théorisées, allant de l'utilisation de commandes C2 pour perturber les élections(Donald Trump peut-etre) ou manipuler les marchés de l'énergie.
Modèles de commandement et de contrôle

Bien qu'il existe une grande variété d'options pour la mise en œuvre de C2, l'architecture entre les logiciels malveillants et la plate-forme C2 ressemblera généralement à l'un des modèles suivants :
Centralisé

Un modèle de commande et de contrôle centralisé fonctionne un peu comme la relation client-serveur traditionnelle. Un « client » malveillant téléphonera à un serveur C2 et vérifiera les instructions. En pratique, l'infrastructure côté serveur d'un attaquant est souvent beaucoup plus complexe qu'un serveur unique et peut inclure des redirecteurs, des équilibreurs de charge et des mesures de défense pour détecter les chercheurs en sécurité et les forces de l'ordre. Les services de cloud public et les réseaux de diffusion de contenu (CDN) sont fréquemment utilisés pour héberger ou masquer l'activité C2. Il est également courant que les pirates informatiques compromettent des sites Web légitimes et les utilisent pour héberger des serveurs de commande et de contrôle à l'insu du propriétaire.

L'activité C2 est souvent découverte assez rapidement et les domaines et serveurs associés à une campagne peuvent être supprimés dans les heures suivant leur première utilisation. Pour lutter contre cela, les logiciels malveillants modernes sont souvent codés avec une liste de nombreux serveurs C2 différents à essayer d'atteindre. Les attaques les plus sophistiquées introduisent des couches supplémentaires d'obscurcissement. Des logiciels malveillants ont été observés en train de récupérer une liste de serveurs C2 à partir des coordonnées GPS intégrées dans les photos et des commentaires sur Instagram.
Peer-to-Peer (P2P)

Dans un modèle P2P C&C, les instructions de commande et de contrôle sont fournies de manière décentralisée, les membres d'un botnet relayant les messages entre eux. Certains des robots peuvent toujours fonctionner comme des serveurs, mais il n'y a pas de nœud central ou « maître ». Cela rend la perturbation beaucoup plus difficile qu'un modèle centralisé, mais peut également compliquer la tâche de l'attaquant pour envoyer des instructions à l'ensemble du botnet. Les réseaux P2P sont parfois utilisés comme mécanisme de secours en cas de perturbation du canal C2 principal.
Hors bande et aléatoire

Un certain nombre de techniques inhabituelles ont été observées pour donner des instructions aux hôtes infectés. Les pirates informatiques ont largement utilisé les plateformes de médias sociaux en tant que plateformes C2 non conventionnelles, car elles sont rarement bloquées. Un projet appelé Twittor vise à fournir une plate-forme de commande et de contrôle entièrement fonctionnelle en utilisant uniquement des messages directs sur Twitter. Des pirates informatiques ont également été observés en train d'utiliser Gmail, des salles de discussion IRC et même Pinterest pour envoyer des messages C&C à des hôtes compromis. Il a également été émis l'hypothèse que l'infrastructure de commande et de contrôle pourrait être entièrement aléatoire, avec un attaquant analysant de larges pans d'Internet dans l'espoir de trouver un hôte infecté.
Détection et prévention du trafic de commandement et de contrôle

comment empêcher le piratage c2

Le trafic C2 peut être notoirement difficile à détecter, car les attaquants font de grands efforts pour éviter d'être remarqués. Cependant, il existe une formidable opportunité pour les défenseurs, car perturber C2 peut empêcher une infection par un logiciel malveillant de se transformer en un incident plus grave comme une violation de données. En fait, de nombreuses cyberattaques à grande échelle ont été initialement découvertes lorsque les chercheurs ont remarqué une activité C2. Voici quelques techniques générales pour détecter et arrêter le trafic de commande et de contrôle dans votre propre réseau :
Surveiller et filtrer le trafic sortant

De nombreuses organisations accordent peu d'attention au trafic sortant de leur réseau, se concentrant plutôt sur les menaces contenues dans le trafic entrant. Ce manque de sensibilisation facilite les activités de commandement et de contrôle d'un attaquant. Soigneusement des règles de pare-feu de sortie conçues peuvent aider à entraver la capacité d'un adversaire à ouvrir des canaux de communication secrets. Par exemple, limiter les requêtes DNS sortantes aux seuls serveurs contrôlés par l'organisation peut réduire la menace du tunnelage DNS. Les proxys peuvent être utilisés pour inspecter le trafic Web sortant, mais les utilisateurs doivent veiller à configurer l'inspection SSL/TLS, car les pirates ont adopté le cryptage avec le reste du Web. Les services de filtrage DNS peuvent également être utilisés pour empêcher les rappels C2 vers des domaines suspects ou nouvellement enregistrés.
Surveillez les balises

Les balises peuvent être un signe révélateur d'une activité de commandement et de contrôle au sein de votre réseau, mais elles sont souvent difficiles à repérer. La plupart des solutions IDS/IPS prendront en charge les balises associées à des frameworks standard comme Metasploit et Cobalt Strike, mais celles-ci peuvent facilement être personnalisées par les attaquants pour rendre la détection beaucoup plus difficile. Pour une analyse plus approfondie du trafic réseau (NTA), un outil comme RITA peut être utilisé. Dans certains cas, les équipes de chasse aux menaces iront jusqu'à inspecter manuellement les vidages de paquets à l'aide d'un outil comme Wireshark ou tcpdump.
Journaliser et inspecter

enregistrer et inspecter le code

La collecte de fichiers journaux à partir d'autant de sources que possible est vitale lors de la recherche de signes de trafic de commandement et de contrôle. Souvent, une analyse approfondie est nécessaire pour faire la distinction entre le trafic C2 et les applications légitimes. Les analystes de sécurité peuvent avoir besoin de rechercher des modèles inhabituels, d'examiner les charges utiles de requêtes HTTPS ou DNS apparemment bénignes et d'effectuer d'autres types d'analyses statistiques. Plus le volume d'informations avec lequel l'analyste ou le chasseur de menaces doit travailler est important, mieux c'est. La journalisation à distance et les solutions SIEM peuvent vous aider dans cette tâche.
Corréler les données de plusieurs sources

Tout l'intérêt du maintien d'une infrastructure de commande et de contrôle est d'effectuer une action spécifique comme accéder à des fichiers importants ou infecter plus d'hôtes. La chasse aux activités C&C du point de vue des données et du réseau augmente la probabilité de découvrir des cyberattaques bien camouflées. C'est exactement l'approche adoptée par Varonis Edge, vous offrant la visibilité approfondie requise pour tout repérer, des menaces internes aux groupes APT(hackers).
 

Conclusion

L'infrastructure de commandement et de contrôle est essentielle pour les attaquants et représente une opportunité pour les défenseurs. Le blocage du trafic C&C ou le démantèlement de l'infrastructure C2 d'un adversaire peut mettre un terme à une cyberattaque. La lutte contre le C2 ne devrait jamais être le seul objectif d'une organisation et devrait faire partie d'un programme de sécurité de l'information plus large qui comprend de bonnes pratiques de « cyberhygiène », une formation de sensibilisation à la sécurité pour les employés et des politiques et procédures bien pensées. Ces mesures peuvent grandement contribuer à atténuer la menace posée par l'infrastructure de commandement et de contrôle.
 

REF.:   Robert Grimmick

https://www.varonis.com/blog/what-is-c2