Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:detekcija_havoc_c2_servera [2025/01/22 18:23]
Kosanović Andro 		racfor_wiki:seminari2024:detekcija_havoc_c2_servera [2025/01/22 20:46] (trenutno)
Kosanović Andro [Uvod]
Redak 1: Redak 1:
-===== Detekcija Havoc C2 Servera =====+====== Detekcija Havoc C2 Servera ======
  
 ===== Sažetak ===== ===== Sažetak =====
Redak 7: Redak 7:
 Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću. Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću.
  
-Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti dublje razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom.+Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom.
  
 ===== Osnove C2 infrastrukture ===== ===== Osnove C2 infrastrukture =====
-C2 infrastruktura se sastoji od komponenti koje omogućuju napadačima kontrolu nad kompromitiranim sustavima. Ključni elementi uključuju:+C2 infrastruktura sastoji se od komponenti koje omogućuju napadačima kontrolu nad kompromitiranim sustavima. Ključni elementi uključuju:
  
   * **C2 server:** Centralna komponenta koja izdaje naredbe i prikuplja podatke.   * **C2 server:** Centralna komponenta koja izdaje naredbe i prikuplja podatke.
-  * **Beacon:** Agent instaliran na kompromitiranom sustavu koji komunicira s C2 serverom. +  * **Beacon (agent):** Softverski entitet instaliran na kompromitiranom sustavu koji komunicira s C2 serverom. 
-  * **Komunikacijski protokoli:** Kanali za prijenos podataka (HTTP, HTTPS, DNS, itd.) koji se često koriste za prikrivanje aktivnosti.+  * **Komunikacijski protokoli:** Kanali za prijenos podataka (HTTP, HTTPS, DNS, SMB, itd.) koji se često koriste za prikrivanje aktivnosti.
  
-Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju. Razumijevanje ovih osnovnih elemenata ključno je za detekciju i mitigaciju napada.+Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju.
  
 ==== Havoc C2 Server ==== ==== Havoc C2 Server ====
Redak 22: Redak 22:
  
   * **Modularna arhitektura:** Podržava dodatke za prilagodbu funkcionalnosti.   * **Modularna arhitektura:** Podržava dodatke za prilagodbu funkcionalnosti.
-  * **Prikrivenost:** Koristi napredne metode za izbjegavanje antivirusnih i EDR sustava.+  * **Prikrivenost:** Koristi napredne metode za izbjegavanje antivirusnih i EDR sustava, uključujući indirektne sistemske pozive i obfuscaciju spavanja.
   * **Kompatibilnost:** Omogućuje integraciju s raznim operativnim sustavima i alatima.   * **Kompatibilnost:** Omogućuje integraciju s raznim operativnim sustavima i alatima.
  
-Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera, što je ključan aspekt razumijevanja njegove infrastrukture:+Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera:
  
-{{https://miro.medium.com/v2/resize:fit:720/format:webp/1*x8RMipuRVxhhgO8YsS303w.png|Havoc C2 promet između klijenta i servera}}  +{{https://miro.medium.com/v2/resize:fit:420/format:webp/1*x8RMipuRVxhhgO8YsS303w.png?685|Havoc C2 promet između klijenta i servera}}
  
-*Izvor"@r1ckyr3c0n"Medium*+odnosno komunikacija agenata sa tzv. 'teamserverom' kojim upravljaju daemoni: 
 + 
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1940f64c03a80aa3abae_66be1e5500dba40c30847861_havoc-docs-1024x603.png?685|Havoc C2 promet između daemonaagenata i teamservera}}
  
 ==== Metode detekcije ==== ==== Metode detekcije ====
Redak 45: Redak 47:
     - IDS/IPS sustavi (npr. Snort, Suricata).     - IDS/IPS sustavi (npr. Snort, Suricata).
     - Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne).     - Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne).
 +
 +Naime, kao što su to napravili kolege iz [[https://www.immersivelabs.com/|Immersive Labs]], moguće je napraviti [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics/blob/main/Volatility/havoc.py|automatizirane provjere nad stanjem memorije i interferencijom agenata nad njom]] koje, prilikom skeniranja procesa i memorije, ispisuju sljedeće:
 +
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd6_66be1e5500dba40c3084785e_volatility-plugin-1024x202.png?685|Havoc C2 volatility plugin output}}
 +
 +A što se tiče skeniranja mrežnog prometa, razvili su i [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics|automatizirani parser Havoc C2 prometa]] koji ispisuje:
 +
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd9_66be1e5400dba40c30847804_pcap-parser-working-1024x367.png?685|Havoc C2 pcap parser script output}}
 +
 +Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i [[https://www.youtube.com/watch?v=PmJhaifFLV8|video]] (YouTube kanal "cyberlabz").
  
 ==== Implementacija i alati ==== ==== Implementacija i alati ====
Redak 54: Redak 66:
   * **Simulacija napada:** Upotreba alata poput Metasploita za testiranje sigurnosnih mjera.   * **Simulacija napada:** Upotreba alata poput Metasploita za testiranje sigurnosnih mjera.
  
-Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i [[https://www.youtube.com/watch?v=PmJhaifFLV8|video]] (YouTube kanal "cyberlabz").+
  
 ===== Zaključak ===== ===== Zaključak =====
racfor_wiki/seminari2024/detekcija_havoc_c2_servera.1737570238.txt.gz · Zadnja izmjena: 2025/01/22 18:23 od Kosanović Andro
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0