Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:seminari2023:c2_server_fingerprinting [2024/01/15 21:39] Perković Gabrijela [Teorijsko razumijevanje C2 servera] |
racfor_wiki:seminari2023:c2_server_fingerprinting [2024/01/22 02:12] (trenutno) Perković Gabrijela [Zaključak] |
||
---|---|---|---|
Redak 1: | Redak 1: | ||
====== Sažetak ====== | ====== Sažetak ====== | ||
+ | U suvremenom digitalnom okruženju gdje tehnološki napredak donosi prednosti, rastu i prijetnje od malicioznih napada. Command and Control (C2) napadi predstavljaju ozbiljnu opasnost omogućujući napadačima daljinsko upravljanje zaraženim računalima. Kao jednu od metoda otkrivanja C2 aktivnosti istaknula sam fingerprinting. Primjeri implementacija te metode kojih se dotičem su JARM i JA3/JA3S. One u kombinaciji s drugim metodama otkrivanja analitičarima pružaju ključne resurse za identifikaciju malicioznih servera. Unatoč napretku izazovi u detekciji potiču daljnje istraživanje i integraciju različitih metoda kako bi se unaprijedile tehnike za očuvanje sigurnosti u digitalnom prostoru. | ||
====== Uvod ====== | ====== Uvod ====== | ||
Napretkom tehnologije čovjek se sve više oslanja na digitalni oblik pohranjivanja, | Napretkom tehnologije čovjek se sve više oslanja na digitalni oblik pohranjivanja, | ||
Redak 12: | Redak 13: | ||
Na slici 3.1 prikazano je kako funkcionira struktura C2. Računalo zaraženo nekim malicioznim softverom najčešće se naziva //zombie//, a skup njih čini mrežu koja se naziva // | Na slici 3.1 prikazano je kako funkcionira struktura C2. Računalo zaraženo nekim malicioznim softverom najčešće se naziva //zombie//, a skup njih čini mrežu koja se naziva // | ||
- | Tradicionalno bi C2 server bio smješten na odabranom lokaliziranom računalu, no to napadaču izlaže ranjivosti lakšeg lociranja i snošenja zakonskih posljedica. Napadači sve češće zlorabljuju //Cloud// kako bi pokretali i gasili C2 infrastrukturu. To značajno otežava borbu protiv tog napada. Prije nego li bude otkriven, napadač može krasti podatke, izvesti napad na mrežu, sabotirati rad sustava, širiti zarazu na ostala računala itd. Kako bi prikrio svoj rad, nerijetko se nastoji prikriti | + | Tradicionalno bi C2 server bio smješten na odabranom lokaliziranom računalu, no to napadača izlaže ranjivosti lakšeg lociranja i snošenja zakonskih posljedica. Napadači sve češće zlorabljuju //Cloud// kako bi pokretali i gasili C2 infrastrukturu. To značajno otežava borbu protiv tog napada. Prije nego li bude otkriven, napadač može krasti podatke, izvesti napad na mrežu, sabotirati rad sustava, širiti zarazu na ostala računala itd. Kako bi prikrio svoj rad, nerijetko se nastoji prikriti |
Otkrivanje Command and Control (C2) aktivnosti predstavlja izazov u području sigurnosti. Ovisno o spretnosti napadača, kvaliteti sigurnosnih mehanizama i drugom otkrivanje napada može trajati od nekoliko dana do nekoliko mjeseci. | Otkrivanje Command and Control (C2) aktivnosti predstavlja izazov u području sigurnosti. Ovisno o spretnosti napadača, kvaliteti sigurnosnih mehanizama i drugom otkrivanje napada može trajati od nekoliko dana do nekoliko mjeseci. | ||
====== C2 server fingerprinting ====== | ====== C2 server fingerprinting ====== | ||
- | "C2 server fingerprinting" | + | C2 server |
- | Nerijetko je jako teško uočiti komunikaciju zaraženog računala sa serverom napadača zato što se komunikacija odvija na vrlo uobičajen način, primjerice otkriveno je da se naredbe razmjenjuju koristeći Slack, Messenger i slično. Ako je sustav zaražen ili pogođen C2 napadom, napadači često koriste skalabilnu arhitekturu i automatsko razmještanje kako bi da učinkovito kontrolirali velik broj zaraženih računala ili mreža. Dijelovi infrastrukture poput metoda razmještanja, | + | Nerijetko je jako teško uočiti komunikaciju zaraženog računala sa serverom napadača zato što se komunikacija odvija na vrlo uobičajen način, primjerice otkriveno je da se naredbe razmjenjuju koristeći Slack, Messenger i slično. Ako je sustav zaražen ili pogođen C2 napadom, napadači često koriste skalabilnu arhitekturu i automatsko razmještanje kako bi da učinkovito kontrolirali velik broj zaraženih računala ili mreža. Dijelovi infrastrukture poput metoda razmještanja, |
Pojasnimo ideju iza metoda razmještaja. Ako analitičar primijeti da se zaraženo računalo redovito povezuje s drugim računalima ili serverima na način koji sugerira automatsko razmještanje, | Pojasnimo ideju iza metoda razmještaja. Ako analitičar primijeti da se zaraženo računalo redovito povezuje s drugim računalima ili serverima na način koji sugerira automatsko razmještanje, | ||
Redak 35: | Redak 36: | ||
**JARM fingerprinting** | **JARM fingerprinting** | ||
- | JARM je alat za fingerprinting metodu koji se koristi //Transport Layer Security// (TLS) kako bi identificirao i grupirao maliciozne servere. Aktivno šalje 10 TLS Client Hello poruka ciljanim TLS poslužiteljima na internetu. Ove poruke su posebno oblikovane kako bi izazvale jedinstvene odgovore od TLS poslužitelja. Kada JARM primi odgovore, analizira određene atribute TLS Server Hello poruka, uključujući verzije protokola, kriptografske algoritme i proširenja, | + | JARM je alat za fingerprinting metodu koji se koristi //Transport Layer Security// (TLS) kako bi identificirao i grupirao maliciozne servere. Aktivno šalje 10 TLS Client Hello poruka ciljanim TLS poslužiteljima na internetu. Ove poruke su posebno oblikovane kako bi izazvale jedinstvene odgovore od TLS poslužitelja. Kada JARM primi odgovore, analizira određene atribute TLS Server Hello poruka, uključujući verzije protokola, kriptografske algoritme i proširenja, |
Ovaj otisak može biti koristan za identifikaciju i grupiranje poslužitelja prema njihovim TLS konfiguracijama. Ako više poslužitelja ima slične otiske, to može ukazivati na zajedničke karakteristike poput pripadnosti određenom pružatelju usluga ili korištenju određenih tehnologija. | Ovaj otisak može biti koristan za identifikaciju i grupiranje poslužitelja prema njihovim TLS konfiguracijama. Ako više poslužitelja ima slične otiske, to može ukazivati na zajedničke karakteristike poput pripadnosti određenom pružatelju usluga ili korištenju određenih tehnologija. | ||
Redak 48: | Redak 49: | ||
Ova vrsta otisaka može biti korisna u analizi mrežnog prometa i prepoznavanju aplikacija koje komuniciraju putem sigurnih TLS veza. Također, otisci JA3-a mogu pomoći u otkrivanju prometa povezanog s određenim alatima, tehnologijama ili čak zlonamjernim aktivnostima koje koriste specifične aplikacije. | Ova vrsta otisaka može biti korisna u analizi mrežnog prometa i prepoznavanju aplikacija koje komuniciraju putem sigurnih TLS veza. Također, otisci JA3-a mogu pomoći u otkrivanju prometa povezanog s određenim alatima, tehnologijama ili čak zlonamjernim aktivnostima koje koriste specifične aplikacije. | ||
+ | |||
+ | Postoje i druge verzije te pokušaji nadogradnje spomenutih alata koji nastoje uključiti metode strojnog učenja u dobivanje otiska, upotrebljavaju drukčije hasheve, drukčije obrađuju skupljene podatke i razne druge metode. | ||
+ | |||
+ | |||
====== Zaključak ====== | ====== Zaključak ====== | ||
+ | Važnost otkrivanja Command and Control (C2) aktivnosti jedna je od ključnih komponenti u borbi protiv cyber prijetnji. Metode C2 server fingerprintinga poput onih korištenih u alatima JARM i JA3/JA3S pružaju analitičarima važne resurse za prepoznavanje malicioznih servera temeljem karakterističnih obilježja. Unatoč napretku izazovnost detekcije ostaje s obzirom na stalno prilagođavanje taktika napadača. Nadalje istraživanje i kombinacija različitih metoda ostaju ključni elementi u usavršavanju tehnika za očuvanje sigurnosti u digitalnom okruženju. | ||
+ | |||
+ | Video: https:// | ||
+ | |||
+ | Video uradak nije na fer-driveu zato što mi prvih 5 sekundi video stoji kako god probala popraviti. | ||
====== Literatura ====== | ====== Literatura ====== | ||
- | [1] [[https:// | + | [1] [[https:// |
+ | |||
+ | [2] [[https:// | ||
+ | |||
+ | [3] [[https:// | ||
+ | |||
+ | [4] [[https:// | ||
- | [2] [[https://www.varonis.com/blog/what-is-c2|Grimmick,R, What is C2? Command and Control Infrastructure Explained (2022, kolovoz).; pristupljeno 8. siječnja 2024.]] | + | [5] [[https://engineering.salesforce.com/easily-identify-malicious-servers-on-the-internet-with-jarm-e095edac525a/ |
- | [] [[https://www.hato0.xyz/posts/blue_team/c2detection/|Hato0, C2 detection using fingerprinting | + | [6] [[https://webthesis.biblio.polito.it/secure/27771/1/tesi.pdf|De Fusco,L. (2023) Advanced C2 Fingerprinting. Magistarski rad. Turin: Polytechnic University of Turin]] |