Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena
Starija izmjena
racfor_wiki:seminari2023:c2_server_fingerprinting [2024/01/15 21:54]
Perković Gabrijela [C2 server fingerprinting]
racfor_wiki:seminari2023:c2_server_fingerprinting [2024/01/22 02:12] (trenutno)
Perković Gabrijela [Zaključak]
Redak 1: Redak 1:
 ====== Sažetak ====== ====== Sažetak ======
 +U  suvremenom digitalnom okruženju gdje tehnološki napredak donosi prednosti, rastu i prijetnje od malicioznih napada. Command and Control (C2) napadi predstavljaju ozbiljnu opasnost omogućujući napadačima daljinsko upravljanje zaraženim računalima. Kao jednu od metoda otkrivanja C2 aktivnosti istaknula sam fingerprinting. Primjeri implementacija te metode kojih se dotičem su JARM i JA3/JA3S. One u kombinaciji s drugim metodama otkrivanja analitičarima pružaju ključne resurse za identifikaciju malicioznih servera. Unatoč napretku izazovi u detekciji potiču daljnje istraživanje i integraciju različitih metoda kako bi se unaprijedile tehnike za očuvanje sigurnosti u digitalnom prostoru.
 ====== Uvod ====== ====== Uvod ======
 Napretkom tehnologije čovjek se sve više oslanja na digitalni oblik pohranjivanja, obrade te dijeljenja podataka. Uz sve prednosti koje nosi taj novitet dolaze i prijetnje malicioznih napada. Različitim tehnikama napadači pokušavaju zaraziti klijentska računala i ispuniti maliciozne ciljeve kao što su krađa podataka, sabotaža rada servera, brisanje podataka i slično. Jednu od prijetnji predstavlja i Command and Control (C2) napad kojim napadač na daljinu te potajno upravlja zaraženim računalima.  Kako bi se taj napad otkrio i kako bi se umanjila nastala šteta koristi se metoda C2 server fingerprinting. Postoje razne metode fingerprintinga koje pokušavaju na razne načine otkriti sumnjive transakcije. Ovaj rad dotaknut će se dosad najraširenijih metoda fingerprintinga te će ukazati na važnost i primjenu istih. Napretkom tehnologije čovjek se sve više oslanja na digitalni oblik pohranjivanja, obrade te dijeljenja podataka. Uz sve prednosti koje nosi taj novitet dolaze i prijetnje malicioznih napada. Različitim tehnikama napadači pokušavaju zaraziti klijentska računala i ispuniti maliciozne ciljeve kao što su krađa podataka, sabotaža rada servera, brisanje podataka i slično. Jednu od prijetnji predstavlja i Command and Control (C2) napad kojim napadač na daljinu te potajno upravlja zaraženim računalima.  Kako bi se taj napad otkrio i kako bi se umanjila nastala šteta koristi se metoda C2 server fingerprinting. Postoje razne metode fingerprintinga koje pokušavaju na razne načine otkriti sumnjive transakcije. Ovaj rad dotaknut će se dosad najraširenijih metoda fingerprintinga te će ukazati na važnost i primjenu istih.
Redak 16: Redak 17:
 Otkrivanje Command and Control (C2) aktivnosti predstavlja izazov u području sigurnosti. Ovisno o spretnosti napadača, kvaliteti sigurnosnih mehanizama i drugom otkrivanje napada može trajati od nekoliko dana do nekoliko mjeseci. Otkrivanje Command and Control (C2) aktivnosti predstavlja izazov u području sigurnosti. Ovisno o spretnosti napadača, kvaliteti sigurnosnih mehanizama i drugom otkrivanje napada može trajati od nekoliko dana do nekoliko mjeseci.
 ====== C2 server fingerprinting ====== ====== C2 server fingerprinting ======
- C2 server //fingerprinting// jedan je od procesa kojim se nastoji otkriti prisutnost "uljeza" u sustavu i prekinuti C2 napad. Temelji se na analizi i identifikaciji karakterističnih obilježja C2 servera koji se skupno nazivaju fingerprint. Fingerprinting obično uključuje analizu mrežnog prometa, karakteristika komunikacije s C2 serverom te ponekad i specifičnosti koda ili protokola koji se koriste. Kako bi se povećale šanse otkrivanja "uljeza", fingerprinting se kombinira s drugim metodama detekcije C2. Učinkovitost metode ovisi o sposbnosti napadača da prikrije svoje tragove te nažalost nije konačno rješenje ovom problemu, a i napadači konstantno prilagođavaju svoje taktike kako bi izbjegli detekciju, što čini ovu vrstu analize izazovnom.  + C2 server //fingerprinting// jedan je od procesa kojim se nastoji otkriti prisutnost "uljeza" u sustavu i prekinuti C2 napad. Temelji se na analizi i identifikaciji karakterističnih obilježja C2 servera koji se skupno nazivaju fingerprint. Fingerprinting obično uključuje analizu mrežnog prometa, karakteristika komunikacije s C2 serverom te ponekad i specifičnosti koda ili protokola koji se koriste. Kako bi se povećale šanse otkrivanja "uljeza", fingerprinting se kombinira s drugim metodama detekcije C2 kao što su analiza DNS prometa, analiza mrežnog prometa itd. Učinkovitost metode ovisi o sposobnosti napadača da prikrije svoje tragove te nažalost nije konačno rješenje ovom problemu, a i napadači konstantno prilagođavaju svoje taktike kako bi izbjegli detekciju, što čini ovu vrstu analize izazovnom.  
  
-Nerijetko je jako teško uočiti komunikaciju zaraženog računala sa serverom napadača zato što se komunikacija odvija na vrlo uobičajen način, primjerice otkriveno je da se naredbe razmjenjuju koristeći Slack, Messenger i slično. Ako je sustav zaražen ili pogođen C2 napadom, napadači često koriste skalabilnu arhitekturu i automatsko razmještanje kako bi da učinkovito kontrolirali velik broj zaraženih računala ili mreža. Dijelovi infrastrukture poput metoda razmještanja, instaliranih knjižnica, poslužitelja i njegove verzije ostaju nepromijenjeni kako bi održali stabilnost komunikacije između zaraženog računala i C2 servera. +Nerijetko je jako teško uočiti komunikaciju zaraženog računala sa serverom napadača zato što se komunikacija odvija na vrlo uobičajen način, primjerice otkriveno je da se naredbe razmjenjuju koristeći Slack, Messenger i slično. Ako je sustav zaražen ili pogođen C2 napadom, napadači često koriste skalabilnu arhitekturu i automatsko razmještanje kako bi da učinkovito kontrolirali velik broj zaraženih računala ili mreža. Dijelovi infrastrukture poput metoda razmještanja, instaliranih //libraryja//, poslužitelja i njegove verzije ostaju nepromijenjeni kako bi održali stabilnost komunikacije između zaraženog računala i C2 servera. 
  
 Pojasnimo ideju iza metoda razmještaja. Ako analitičar primijeti da se zaraženo računalo redovito povezuje s drugim računalima ili serverima na način koji sugerira automatsko razmještanje, to može biti znak C2 aktivnosti. Jedan od čestih primjera automatskog razmještanja uključuje brze i redovite izmjene koda ili skripti koje se primjenjuju na zaraženim računalima. Ova dinamičnost otežava otkrivanje jer napadači često mijenjaju svoje metode kako bi ostali korak ispred sigurnosnih alata. Osim toga omogućuje brzo i učinkovito širenje malicioznog softvera na ciljane sustave. Pojasnimo ideju iza metoda razmještaja. Ako analitičar primijeti da se zaraženo računalo redovito povezuje s drugim računalima ili serverima na način koji sugerira automatsko razmještanje, to može biti znak C2 aktivnosti. Jedan od čestih primjera automatskog razmještanja uključuje brze i redovite izmjene koda ili skripti koje se primjenjuju na zaraženim računalima. Ova dinamičnost otežava otkrivanje jer napadači često mijenjaju svoje metode kako bi ostali korak ispred sigurnosnih alata. Osim toga omogućuje brzo i učinkovito širenje malicioznog softvera na ciljane sustave.
Redak 35: Redak 36:
 **JARM fingerprinting** **JARM fingerprinting**
  
-JARM je alat za fingerprinting metodu koji se koristi //Transport Layer Security// (TLS) kako bi identificirao i grupirao maliciozne servere. Aktivno šalje 10 TLS Client Hello poruka ciljanim TLS poslužiteljima na internetu. Ove poruke su posebno oblikovane kako bi izazvale jedinstvene odgovore od TLS poslužitelja. Kada JARM primi odgovore, analizira određene atribute TLS Server Hello poruka, uključujući verzije protokola, kriptografske algoritme i proširenja, koje potom koristi za stvaranje jedinstvenog otiska (fingerprinta) za svaki poslužitelj.+JARM je alat za fingerprinting metodu koji se koristi //Transport Layer Security// (TLS) kako bi identificirao i grupirao maliciozne servere. Aktivno šalje 10 TLS Client Hello poruka ciljanim TLS poslužiteljima na internetu. Ove poruke su posebno oblikovane kako bi izazvale jedinstvene odgovore od TLS poslužitelja. Kada JARM primi odgovore, analizira određene atribute TLS Server Hello poruka, uključujući verzije protokola, kriptografske algoritme i proširenja, koje potom koristi za stvaranje jedinstvenog otiska (fingerprinta) za svaki poslužitelj. JARM koristi kombinaciju reverzibilnog i nereverzibilnog hash algoritma kako bi stvorio 62-znakovni otisak (fingerprint).
  
 Ovaj otisak može biti koristan za identifikaciju i grupiranje poslužitelja prema njihovim TLS konfiguracijama. Ako više poslužitelja ima slične otiske, to može ukazivati na zajedničke karakteristike poput pripadnosti određenom pružatelju usluga ili korištenju određenih tehnologija. Ovaj otisak može biti koristan za identifikaciju i grupiranje poslužitelja prema njihovim TLS konfiguracijama. Ako više poslužitelja ima slične otiske, to može ukazivati na zajedničke karakteristike poput pripadnosti određenom pružatelju usluga ili korištenju određenih tehnologija.
Redak 48: Redak 49:
  
 Ova vrsta otisaka može biti korisna u analizi mrežnog prometa i prepoznavanju aplikacija koje komuniciraju putem sigurnih TLS veza. Također, otisci JA3-a mogu pomoći u otkrivanju prometa povezanog s određenim alatima, tehnologijama ili čak zlonamjernim aktivnostima koje koriste specifične aplikacije. Ova vrsta otisaka može biti korisna u analizi mrežnog prometa i prepoznavanju aplikacija koje komuniciraju putem sigurnih TLS veza. Također, otisci JA3-a mogu pomoći u otkrivanju prometa povezanog s određenim alatima, tehnologijama ili čak zlonamjernim aktivnostima koje koriste specifične aplikacije.
 +
 +Postoje i druge verzije te pokušaji nadogradnje spomenutih alata koji nastoje uključiti metode strojnog učenja u dobivanje otiska, upotrebljavaju drukčije hasheve, drukčije obrađuju skupljene podatke i razne druge metode. 
 +
 +
 ====== Zaključak ====== ====== Zaključak ======
 +Važnost otkrivanja Command and Control (C2) aktivnosti jedna je od ključnih komponenti u borbi protiv cyber prijetnji. Metode C2 server fingerprintinga poput onih korištenih u alatima JARM i JA3/JA3S pružaju analitičarima važne resurse za prepoznavanje malicioznih servera temeljem karakterističnih obilježja. Unatoč napretku izazovnost detekcije ostaje s obzirom na stalno prilagođavanje taktika napadača. Nadalje istraživanje i kombinacija različitih metoda ostaju ključni elementi u usavršavanju tehnika za očuvanje sigurnosti u digitalnom okruženju.
 +
 +Video: https://drive.google.com/file/d/1uZU2k5snLYG24RAohX17TztW3gI2J8Iq/view?usp=sharing
 +
 +Video uradak nije na fer-driveu zato što mi prvih 5 sekundi video stoji kako god probala popraviti. 
 ====== Literatura ====== ====== Literatura ======
-[1] [[https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163|Kumari,S., TRY HACK MEIntro to C2 Write-Up, (2022, ožujak).; pristupljeno 13siječnja 2024.]]+[1] [[https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163|https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163]] 
 + 
 +[2] [[https://www.varonis.com/blog/what-is-c2|https://www.varonis.com/blog/what-is-c2]]
  
-[2] [[https://www.varonis.com/blog/what-is-c2|Grimmick,R, What is C2? Command and Control Infrastructure Explained (2022, kolovoz).; pristupljeno 8. siječnja 2024.]]+[3] [[https://www.hato0.xyz/posts/blue_team/c2detection/|https://www.hato0.xyz/posts/blue_team/c2detection/]]
  
-[3] [[https://www.hato0.xyz/posts/blue_team/c2detection/|Hato0, C2 detection using fingerprinting (2022, srpanj).; pristupljeno 10. siječnja 2024.]]+[4] [[https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/|https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/]]
  
-[4] [[https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/|Althouse,J., TLS Fingerprinting with JA3 and JA3S (2023, siječanj).; pristupljeno 15. siječnja 2024 ]]+[5] [[https://engineering.salesforce.com/easily-identify-malicious-servers-on-the-internet-with-jarm-e095edac525a/|https://engineering.salesforce.com/easily-identify-malicious-servers-on-the-internet-with-jarm-e095edac525a ]]
  
-[5] [[https://engineering.salesforce.com/easily-identify-malicious-servers-on-the-internet-with-jarm-e095edac525a/|Althouse,J., Easily Identify Malicious Servers on the Internet with JARM (2023, studeni).; pristupljeno 15siječnja 2024 ]]+[6] [[https://webthesis.biblio.polito.it/secure/27771/1/tesi.pdf|De Fusco,L. (2023) Advanced C2 FingerprintingMagistarski radTurin: Polytechnic University of Turin]]
  
  
racfor_wiki/seminari2023/c2_server_fingerprinting.1705352049.txt.gz · Zadnja izmjena: 2024/01/15 21:54 od Perković Gabrijela
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0