Komando dan Kontrol
Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10. PengelupasanBagian 11. Perintah dan KontrolBagian "Command and Control" (
singkatan - C2, C & C ) adalah tahap akhir dari rantai serangan yang diperkenalkan dalam
ATT & CK Matrix for Enterprise .
Komando dan kontrol mencakup teknik yang digunakan musuh untuk berkomunikasi dengan sistem yang terhubung ke dan di bawah kendali jaringan yang diserang. Tergantung pada konfigurasi sistem dan topologi jaringan target, ada banyak cara untuk mengatur saluran rahasia C2. Teknik yang paling umum dijelaskan di bawah kucing. Rekomendasi umum tentang pengaturan tindakan untuk mencegah dan mendeteksi C2 disorot dalam blok terpisah dan ditempatkan di akhir bagian.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin timbul dari penerapan informasi yang terkandung dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem: Windows, Linux, macOS
Deskripsi: Untuk mem-bypass firewall dan memadukan traffic jahat dengan aktivitas jaringan normal, musuh dapat berkomunikasi dengan sistem yang diserang melalui port standar yang biasa digunakan oleh aplikasi reguler:
TCP: 80 (HTTP)
TCP: 443 (HTTPS)
TCP: 25 (SMTP)
TCP/UDP: 53 (DNS)Contoh port untuk mengatur koneksi jaringan di dalam kantong musuh, misalnya, antara server proxy dan node lainnya) adalah:
TCP/UDP: 135 (RPC)
TCP/UDP: 22
TCP/UDP: 3389Sistem: Windows, Linux, macOS
Deskripsi: Musuh dapat mengatur infrastruktur C2 antara node yang terisolasi secara fisik menggunakan media penyimpanan yang dapat dilepas untuk mentransfer perintah dari sistem ke sistem. Kedua sistem harus dikompromikan. Suatu sistem dengan koneksi Internet kemungkinan besar akan dikompromikan oleh yang pertama, dan sistem kedua dikompromikan selama pergerakan lateral dengan mereplikasi malware melalui media yang dapat dipindahkan (lihat
Bagian 8 ). Perintah dan file akan di-relay dari sistem yang terisolasi ke sistem dengan koneksi Internet, di mana musuh memiliki akses langsung.
Rekomendasi perlindungan: Nonaktifkan autorun perangkat yang dapat dilepas. Melarang atau membatasi penggunaan media yang dapat dipindahkan di tingkat kebijakan organisasi. Atur audit dari proses yang dilakukan saat menghubungkan media yang dapat dilepas.
Sistem: Windows, Linux, macOS
Deskripsi: Server proxy dapat digunakan oleh penyerang untuk mengarahkan lalu lintas jaringan antar sistem atau sebagai perantara komunikasi jaringan. Banyak alat (seperti HTRAN, ZXProxy, dan ZXPortMap) memungkinkan Anda untuk mengarahkan lalu lintas atau meneruskan porta.
Konsep proxy juga dapat mencakup kepercayaan dalam peer-to-peer (p2p), jaringan mesh, atau koneksi tepercaya antar jaringan. Suatu jaringan dapat berada di dalam suatu organisasi atau antara organisasi dengan kepercayaan. Musuh dapat menggunakan trust jaringan untuk mengontrol saluran C2, mengurangi jumlah koneksi jaringan keluar simultan, memberikan toleransi kesalahan, atau menggunakan koneksi tepercaya untuk menghindari kecurigaan.
Sistem: Windows, Linux, macOS
Deskripsi: Penyerang dapat mengatur saluran C2 menggunakan protokol jaringannya sendiri alih-alih merangkum perintah / data ke dalam protokol lapisan aplikasi standar yang ada. Implementasi protokol C2 musuh dapat meniru protokol terkenal atau protokol pengguna (termasuk soket mentah) di atas protokol yang mendasarinya yang disajikan dalam TCP / IP atau tumpukan jaringan standar lainnya.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk menyembunyikan lalu lintas yang ditransmisikan melalui saluran C2, musuh dapat menggunakan protokol kriptografik atau algoritma enkripsi miliknya sendiri. Skema sederhana, seperti enkripsi XOR teks biasa dengan kunci tetap, akan memberikan ciphertext (meskipun sangat lemah).
Skema enkripsi eksklusif dapat bervariasi dalam kompleksitas. Analisis dan rekayasa balik sampel malware dapat digunakan untuk berhasil mendeteksi algoritma yang digunakan dan kunci enkripsi. Beberapa penyerang mungkin mencoba untuk mengimplementasikan versi mereka sendiri dari algoritma kriptografi terkenal daripada menggunakan perpustakaan terkenal, yang dapat menyebabkan kesalahan yang tidak diinginkan dalam pengoperasian perangkat lunak musuh.
Rekomendasi perlindungan: Jika malware menggunakan enkripsi sendiri dengan kunci simetris, maka dimungkinkan untuk mendapatkan algoritma dan kunci dari sampel perangkat lunak untuk menggunakannya untuk memecahkan kode lalu lintas jaringan dan mengidentifikasi tanda tangan malware.
Sistem: Windows, Linux, macOS
Deskripsi: Informasi yang dikirimkan melalui saluran C2 disandikan menggunakan sistem penyandian data standar. Penggunaan pengkodean data adalah untuk memenuhi spesifikasi protokol yang ada dan termasuk penggunaan ASCII, Unicode, Base64, MIME, UTF-8 atau teks biner dan pengkodean karakter lainnya. Beberapa sistem pengkodean, seperti gzip, juga dapat memampatkan data.
Sistem: Windows, Linux, macOS
Deskripsi: Data dalam saluran C2 dapat disembunyikan (tetapi tidak harus menggunakan enkripsi) untuk membuatnya sulit untuk mendeteksi dan mendekripsi konten yang dikirimkan, serta membuat proses komunikasi kurang terlihat dan menyembunyikan perintah yang dikirimkan. Ada banyak metode kebingungan, seperti menambahkan data yang tidak perlu ke lalu lintas protokol, menggunakan steganografi, menggabungkan lalu lintas yang sah dengan lalu lintas C2, atau menggunakan sistem pengkodean data yang tidak standar, misalnya, Base64 yang dimodifikasi di badan pesan permintaan HTTP.
Sistem: Windows, Linux, macOS
Deskripsi: Inti dari Domain Fronting adalah kemampuan untuk menyembunyikan alamat tujuan sebenarnya dari paket HTTPs di jaringan CDNs (Content Delivery Netwoks).
Contoh: Ada domain X dan domain Y, yang merupakan klien dari CDN yang sama. Paket dengan alamat domain X di header TLS dan alamat domain Y di header HTTP kemungkinan besar akan dikirimkan ke alamat domain Y, bahkan jika komunikasi jaringan antara sumber dan alamat tujuan dilarang.Paket HTTPs berisi dua set header: yang pertama, TLS, ada di bagian terbuka paket, yang kedua, HTTP - mengacu pada bagian terenkripsi dari paket. Selain itu, setiap tajuk memiliki bidangnya sendiri untuk menentukan alamat IP tujuan. Inti dari Domain Fronting adalah penggunaan yang disengaja dari berbagai nama domain di bidang "SNI" pada header TLS dan bidang "Host" pada header HTTP. Dengan demikian, alamat tujuan yang diizinkan ditunjukkan di bidang "SNI", dan alamat tujuan pengiriman ditunjukkan di bidang "Host". Jika kedua alamat milik CDNs yang sama, maka setelah menerima paket seperti itu, simpul perutean dapat menyampaikan permintaan ke alamat tujuan.
Ada variasi lain dari teknik ini yang disebut domainless fronting. Dalam hal ini, bidang "SNI" (tajuk TLS) sengaja dikosongkan, yang memungkinkan paket mencapai tujuannya bahkan jika CDN memeriksa kebetulan bidang "SNI" dan "HOST" (jika bidang kosong SNI diabaikan).
Rekomendasi perlindungan: Jika dimungkinkan untuk memeriksa lalu lintas HTTPS, maka koneksi yang mirip dengan Domain Fronting dapat ditangkap dan dianalisis. Jika inspeksi SSL dilakukan atau lalu lintas tidak dienkripsi, bidang "HOST" dapat diperiksa secara kebetulan dengan bidang "SNI" atau keberadaan alamat yang ditentukan dalam daftar putih atau hitam. Untuk menerapkan Domain Fronting, musuh mungkin perlu menggunakan alat tambahan dalam sistem yang dikompromikan, yang pemasangannya dapat dicegah dengan memasang alat perlindungan host lokal.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk memastikan keandalan saluran kontrol dan untuk menghindari melebihi nilai ambang batas dari data yang dikirimkan, penyerang dapat menggunakan cadangan atau saluran komunikasi alternatif jika saluran utama C2 terganggu atau tidak tersedia.
Sistem: Windows, Linux, macOS
Deskripsi: Penyerang dapat membuat saluran multi-tahap C2 yang digunakan dalam berbagai kondisi atau untuk fungsi tertentu. Penggunaan beberapa langkah dapat membingungkan dan mengaburkan saluran C2, sehingga membuatnya sulit dideteksi.
RAT yang berjalan pada host target memulai koneksi ke server tingkat pertama C2. Langkah pertama mungkin memiliki kemampuan otomatis untuk mengumpulkan informasi dasar tentang host, menjalankan alat pembaruan, dan mengunduh file tambahan. Selanjutnya, alat RAT kedua dapat diluncurkan untuk mengarahkan ulang host ke server tingkat kedua C2. Tahap kedua C2, kemungkinan besar, akan berfungsi penuh dan akan memungkinkan musuh untuk berinteraksi dengan sistem target melalui shell balik dan fungsi RAT tambahan.
Langkah C2, kemungkinan besar, akan ditempatkan secara terpisah dari satu sama lain tanpa melintasi infrastruktur mereka. Bootloader juga dapat memiliki umpan balik tahap pertama yang berlebihan atau saluran cadangan jika saluran tahap pertama asli terdeteksi dan diblokir.
Rekomendasi perlindungan: Infrastruktur C2 yang digunakan untuk mengatur saluran multi-tahap dapat diblokir jika diketahui sebelumnya. Jika tanda tangan unik hadir dalam lalu lintas C2, mereka dapat digunakan untuk mengidentifikasi dan memblokir saluran.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk menyamarkan sumber lalu lintas berbahaya, musuh dapat menggunakan rantai beberapa server proxy. Sebagai aturan, pembela hanya dapat menentukan proksi terakhir. Penggunaan multiproxing membuat identifikasi sumber lalu lintas berbahaya lebih sulit, mengharuskan pihak yang membela untuk memantau lalu lintas berbahaya melalui beberapa server proxy.
Rekomendasi perlindungan: Lalu lintas ke jaringan anonim yang diketahui (seperti Tor) dan infrastruktur C2 dapat diblokir dengan mengatur daftar hitam putih. Namun, Anda harus memperhatikan bahwa metode pemblokiran ini dapat dielakkan menggunakan teknik yang mirip dengan Domain Fronting.
Sistem: Windows, Linux, macOS
Deskripsi: Beberapa lawan mungkin membagi saluran data C2 antara protokol yang berbeda. Perintah yang masuk dapat dikirim melalui satu protokol, dan data keluar dengan cara yang berbeda, yang memungkinkan Anda untuk melewati batasan firewall tertentu. Pemisahan mungkin juga tidak disengaja untuk menghindari peringatan tentang melebihi nilai ambang batas untuk setiap pesan.
Rekomendasi perlindungan: Analisis konten paket untuk menemukan koneksi yang tidak sesuai dengan perilaku protokol yang diharapkan untuk port yang digunakan. Peringatan yang cocok antara beberapa saluran komunikasi juga dapat membantu dalam mendeteksi C2.
Sistem: Windows, Linux, macOS
Deskripsi: Musuh dapat menerapkan beberapa tingkat enkripsi lalu lintas C2. Sebagai aturan (tetapi opsi lain tidak dikecualikan), tunneling tambahan menggunakan skema enkripsi sendiri digunakan sebagai bagian dari enkripsi HTTPS atau SMTPS.
Kiat Keamanan: Menggunakan protokol enkripsi dapat mempersulit penemuan C2 khas berdasarkan analisis lalu lintas berbasis tanda tangan. Jika malware menggunakan protokol kriptografi standar, inspeksi SSL / TLS dapat digunakan untuk mendeteksi lalu lintas C2 pada beberapa saluran terenkripsi. Verifikasi SSL / TLS melibatkan risiko tertentu yang harus dipertimbangkan sebelum implementasi untuk menghindari kemungkinan masalah keamanan, seperti
verifikasi sertifikat yang tidak lengkap . Setelah verifikasi SSL / TLS, analisis kriptografi tambahan mungkin diperlukan untuk enkripsi tingkat kedua.
Sistem: Linux, macOS
Hak: Pengguna
Deskripsi: Penyerang dapat menggunakan metode Port Knocking untuk menyembunyikan port terbuka yang mereka gunakan untuk terhubung ke sistem.
Tip
Keamanan: Menggunakan firewall stateful dapat mencegah beberapa opsi Port Knocking diimplementasikan.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk membuat mode perintah dan kontrol interaktif, penyerang dapat menggunakan perangkat lunak yang dirancang untuk itu. dukungan workstation dan perangkat lunak untuk akses jarak jauh, misalnya, TeamViewer, Go2Assist, LogMain, AmmyAdmin, dll., yang biasanya digunakan oleh layanan dukungan teknis dan dapat masuk daftar putih. Alat akses jarak jauh, seperti VNC, Ammy, dan Teamview, paling sering digunakan oleh insinyur dukungan teknis dan umumnya digunakan oleh penjahat cyber.
Alat akses jarak jauh dapat diinstal setelah sistem dikompromikan untuk digunakan sebagai saluran C2 alternatif. Mereka juga dapat digunakan sebagai komponen malware untuk membuat koneksi terbalik dengan server atau sistem yang dikendalikan oleh musuh.
Alat administrasi, seperti TeamViewer, digunakan oleh beberapa kelompok yang berfokus pada lembaga pemerintah di negara-negara yang menarik bagi perusahaan negara dan kriminal Rusia.
Rekomendasi perlindungan: Alat akses jarak jauh dapat digunakan bersama dengan teknik Domain Fronting, sehingga disarankan untuk mencegah musuh dari menginstal alat RAT menggunakan alat keamanan host.
Sistem: Windows, Linux, macOS
Deskripsi: File dapat disalin dari satu sistem ke sistem lain untuk menggunakan alat musuh atau file lainnya. File dapat disalin dari sistem eksternal yang dikendalikan oleh penyerang, melalui saluran C&C atau menggunakan alat lain menggunakan protokol alternatif, seperti FTP. File juga dapat disalin ke Mac dan Linux menggunakan alat bawaan seperti scp, rsync, sftp.
Musuh juga dapat menyalin file secara lateral antara sistem korban internal untuk mendukung pergerakan jaringan dan eksekusi perintah jarak jauh. Ini dapat dilakukan dengan menggunakan protokol berbagi file dengan menghubungkan sumber daya jaringan melalui SMB atau menggunakan koneksi terotentikasi ke Windows Admin Share atau RDP.
Rekomendasi perlindungan: Sebagai cara pendeteksian,
disarankan untuk memantau pembuatan dan transfer file melalui jaringan melalui protokol SMB. Proses yang tidak biasa dengan koneksi jaringan eksternal yang membuat file di dalam sistem juga harus mencurigakan. Penggunaan utilitas yang tidak lazim seperti FTP juga bisa mencurigakan.
Sistem: Windows, Linux, macOS
Deskripsi: Untuk menghindari mendeteksi dan mencampur lalu lintas C2 dengan lalu lintas jaringan yang ada, penyerang dapat menggunakan protokol tingkat aplikasi standar seperti HTTP, HTTPS, SMTP atau DNS. Untuk koneksi dalam saluran C2 (enclave), misalnya, antara server proxy dan master node dan node lainnya, protokol RPC, SSH, atau RDP biasanya digunakan.
Sistem: Windows, Linux, macOS
Deskripsi: Penentang dapat menggunakan algoritma enkripsi terkenal untuk menyembunyikan lalu lintas C2. Meskipun menggunakan algoritma yang kuat, jika kunci rahasia dienkripsi dan dihasilkan oleh malware dan / atau disimpan dalam file konfigurasi, maka lalu lintas C2 dapat diungkapkan menggunakan reverse engineering.
Sistem: Windows, Linux, macOS
Deskripsi: Protokol lapisan non-aplikasi model OSI dapat digunakan untuk komunikasi antara host yang terinfeksi dan server atau untuk interaksi host yang terinfeksi di jaringan. Dalam implementasi terkenal, protokol lapisan jaringan - ICMP, lapisan transport - UDP, lapisan sesi - SOCKS, dan protokol seperti diarahkan / tunneled, seperti Serial over LAN (SOL), digunakan.
ICMP sering digunakan oleh penjahat cyber untuk menyembunyikan komunikasi antara tuan rumah. Karena ICMP adalah bagian dari Internet Protocol Suite dan harus diimplementasikan oleh semua perangkat yang kompatibel dengan IP, ICMP tidak sering dimonitor seperti protokol lain, seperti TCP atau UDP.
Sistem: Windows, Linux, macOS
Deskripsi: Musuh dapat berkomunikasi melalui C2 melalui port non-standar untuk mem-bypass server proxy dan firewall yang tidak dikonfigurasi dengan benar.
Sistem: Windows
Hak: Pengguna
Deskripsi: Penyerang dapat menggunakan layanan Web eksternal yang berjalan dan sah sebagai cara mengirim perintah untuk mengendalikan sistem yang terinfeksi. Server manajemen disebut Command and control (C&C atau C2). Situs web dan jejaring sosial populer dapat bertindak sebagai mekanisme untuk C2, dan berbagai layanan publik seperti Google atau Twitter juga dapat digunakan. Semua ini membantu menyembunyikan aktivitas jahat dalam keseluruhan arus lalu lintas. Layanan web biasanya menggunakan SSL / TLS, sehingga musuh mendapatkan lapisan perlindungan tambahan.
Rekomendasi perlindungan: Firewall dan proxy web dapat digunakan untuk menerapkan kebijakan untuk membatasi komunikasi jaringan eksternal.
Rekomendasi umum tentang pengaturan organisasi untuk pencegahan dan deteksi C2
• Sistem IDS / DLP yang menggunakan analisis lalu lintas berbasis tanda tangan dapat digunakan untuk mendeteksi dan memblokir alat C2 spesifik dan program jahat, sehingga musuh kemungkinan besar akan mengubah alat yang digunakan dari waktu ke waktu atau mengonfigurasi protokol transfer data sedemikian rupa untuk menghindari deteksi dengan cara yang dikenalnya. perlindungan;
• Gunakan alat perlindungan titik akhir anti-virus untuk memblokir alat C2 dan malware yang dikenal;
• Pastikan host di jaringan internal hanya dapat diakses melalui antarmuka resmi;
• Batasi lalu lintas keluar dengan hanya mengizinkan port yang diperlukan pada firewall dan proksi melalui gateway jaringan yang sesuai;
• Blokir domain dan alamat IP dari infrastruktur C2 yang diketahui. Namun, perlu dicatat bahwa ini bukan solusi yang efektif dan jangka panjang, karena
lawan sering dapat mengubah infrastruktur C2;• Gunakan alat daftar putih aplikasi untuk membuatnya sulit untuk menginstal dan menjalankan perangkat lunak pihak ketiga;• Menggunakan firewall, firewall aplikasi dan proksi, membatasi lalu lintas keluar ke situs dan layanan yang digunakan oleh alat akses jarak jauh yang terkenal (TeamViewer, Go2Assist, LogMain, AmmyAdmin, dll.);• Jika malware menggunakan enkripsi sendiri dengan kunci simetris, maka dengan menggunakan rekayasa balik sampel perangkat lunak, dimungkinkan untuk mendapatkan algoritma dan kunci untuk memecahkan kode lalu lintas jaringan dan mengidentifikasi tanda tangan malware;• Memantau panggilan ke fungsi API yang terkait dengan penyertaan atau penggunaan saluran komunikasi alternatif;• Menganalisis lalu lintas jaringan untuk pesan ICMP atau protokol lain yang berisi data abnormal atau yang biasanya tidak terlihat di jaringan atau di luarnya;• Menganalisis aliran jaringan untuk mengidentifikasi aliran tidak normal, misalnya, ketika klien mengirim lebih banyak data secara signifikan daripada yang diterima dari server atau ketika proses yang biasanya tidak menggunakan jaringan membuka koneksi jaringan;• Menganalisis aliran jaringan untuk mengidentifikasi paket yang tidak sesuai dengan standar protokol untuk port yang digunakan.