Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:detekcija_havoc_c2_servera [2025/01/17 02:39]
Kosanović Andro stvoreno 		racfor_wiki:seminari2024:detekcija_havoc_c2_servera [2025/01/22 20:46] (trenutno)
Kosanović Andro [Uvod]
Redak 1: Redak 1:
-===== Naslov =====+====== Detekcija Havoc C2 Servera ======
  
 ===== Sažetak ===== ===== Sažetak =====
 +Istražuju se koncepti i infrastruktura Command and Control (C2) sustava, s posebnim naglaskom na Havoc C2 server. Analiziraju se karakteristike ovog alata, metode detekcije koje se koriste za prepoznavanje njegove aktivnosti te predlažu alati i tehnike za implementaciju detekcijskih rješenja. Rad se temelji na pregledima relevantne literature, analizi stvarnih scenarija i dostupnim tehničkim alatima.
  
 +===== Uvod =====
 +Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću.
  
 +Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom.
  
 +===== Osnove C2 infrastrukture =====
 +C2 infrastruktura sastoji se od komponenti koje omogućuju napadačima kontrolu nad kompromitiranim sustavima. Ključni elementi uključuju:
  
 +  * **C2 server:** Centralna komponenta koja izdaje naredbe i prikuplja podatke.
 +  * **Beacon (agent):** Softverski entitet instaliran na kompromitiranom sustavu koji komunicira s C2 serverom.
 +  * **Komunikacijski protokoli:** Kanali za prijenos podataka (HTTP, HTTPS, DNS, SMB, itd.) koji se često koriste za prikrivanje aktivnosti.
  
 +Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju.
  
 +==== Havoc C2 Server ====
 +Havoc C2 predstavlja moderni open-source Command and Control okvir razvijen za napredne prijetnje. Ključne karakteristike uključuju:
  
 +  * **Modularna arhitektura:** Podržava dodatke za prilagodbu funkcionalnosti.
 +  * **Prikrivenost:** Koristi napredne metode za izbjegavanje antivirusnih i EDR sustava, uključujući indirektne sistemske pozive i obfuscaciju spavanja.
 +  * **Kompatibilnost:** Omogućuje integraciju s raznim operativnim sustavima i alatima.
  
 +Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera:
  
-===== Uvod =====+{{https://miro.medium.com/v2/resize:fit:420/format:webp/1*x8RMipuRVxhhgO8YsS303w.png?685|Havoc C2 promet između klijenta i servera}}
  
 +odnosno komunikacija agenata sa tzv. 'teamserverom' kojim upravljaju daemoni:
  
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1940f64c03a80aa3abae_66be1e5500dba40c30847861_havoc-docs-1024x603.png?685|Havoc C2 promet između daemona, agenata i teamservera}}
  
 +==== Metode detekcije ====
 +Detekcija C2 aktivnosti, uključujući Havoc C2, zahtijeva kombinaciju tehnoloških i analitičkih pristupa. Najčešće metode uključuju:
  
 +  - **Analiza mrežnog prometa:**
 +    - Prepoznavanje abnormalnih uzoraka u komunikaciji.
 +    - Identifikacija enkripcije i tuneliranja podataka.
 +  - **Prikupljanje podataka s krajnjih točaka:**
 +    - Praćenje izvršavanja zlonamjernih procesa.
 +    - Analiza registra i datotečnih sustava za tragove kompromitacije.
 +  - **Primjena strojnog učenja:**
 +    - Razvoj modela za prepoznavanje zlonamjernih aktivnosti temeljenih na povijesnim podacima.
 +  - **Upotreba sigurnosnih alata:**
 +    - IDS/IPS sustavi (npr. Snort, Suricata).
 +    - Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne).
  
 +Naime, kao što su to napravili kolege iz [[https://www.immersivelabs.com/|Immersive Labs]], moguće je napraviti [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics/blob/main/Volatility/havoc.py|automatizirane provjere nad stanjem memorije i interferencijom agenata nad njom]] koje, prilikom skeniranja procesa i memorije, ispisuju sljedeće:
  
-===== Poglavlje ... =====+{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd6_66be1e5500dba40c3084785e_volatility-plugin-1024x202.png?685|Havoc C2 volatility plugin output}}
  
 +A što se tiče skeniranja mrežnog prometa, razvili su i [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics|automatizirani parser Havoc C2 prometa]] koji ispisuje:
  
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd9_66be1e5400dba40c30847804_pcap-parser-working-1024x367.png?685|Havoc C2 pcap parser script output}}
  
 +Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i [[https://www.youtube.com/watch?v=PmJhaifFLV8|video]] (YouTube kanal "cyberlabz").
 +
 +==== Implementacija i alati ====
 +Za uspješnu detekciju Havoc C2 aktivnosti preporučuje se korištenje sljedećih alata i tehnika:
 +
 +  * **Mrežni monitori:** Alati poput Wiresharka i Zeeka za analizu mrežnog prometa.
 +  * **Automatizacija:** Korištenje skripti i alata za automatiziranu analizu logova (npr. ELK stack).
 +  * **Sigurnosni frameworki:** Implementacija MITRE ATT&CK matrice za kategorizaciju tehnika napada.
 +  * **Simulacija napada:** Upotreba alata poput Metasploita za testiranje sigurnosnih mjera.
  
  
  
 ===== Zaključak ===== ===== Zaključak =====
 +Havoc C2 server pokazuje se kao sofisticiran alat koji se koristi u naprednim kibernetičkim napadima. Njegova modularnost i prikrivenost čine ga izazovom za detekciju. Kombinacija analiza mrežnog prometa, prikupljanja podataka s krajnjih točaka i upotrebe naprednih alata ključna je za uspješnu identifikaciju i mitigaciju prijetnji povezanih s ovim alatom. Buduća istraživanja trebala bi se usmjeriti na razvoj inovativnih tehnika i algoritama za prepoznavanje zlonamjernih aktivnosti u stvarnom vremenu.
  
 ===== Literatura ===== ===== Literatura =====
- +  - [[https://attack.mitre.org/|MITRE ATT&CK Framework]] 
-[1] [[https://hr.wikipedia.org/wiki/]] +  [[https://github.com/HavocFramework/Havoc|Havoc C2 GitHub Repository]
- +  - [[https://zeek.org/|Zeek Network Security Monitor]] 
 +  - [[https://www.crowdstrike.com/|CrowdStrike Endpoint Detection and Response]] 
 +  - [[https://suricata.io/|Suricata IDS/IPS]]
racfor_wiki/seminari2024/detekcija_havoc_c2_servera.1737081555.txt.gz · Zadnja izmjena: 2025/01/17 02:39 od Kosanović Andro
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0