Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:detekcija_havoc_c2_servera [2025/01/22 18:45]
Kosanović Andro 		racfor_wiki:seminari2024:detekcija_havoc_c2_servera [2025/01/22 20:46] (trenutno)
Kosanović Andro [Uvod]
Redak 1: Redak 1:
 ====== Detekcija Havoc C2 Servera ====== ====== Detekcija Havoc C2 Servera ======
-{{https://avatars.githubusercontent.com/u/110123898?v=4|Havoc C2}}+
 ===== Sažetak ===== ===== Sažetak =====
 Istražuju se koncepti i infrastruktura Command and Control (C2) sustava, s posebnim naglaskom na Havoc C2 server. Analiziraju se karakteristike ovog alata, metode detekcije koje se koriste za prepoznavanje njegove aktivnosti te predlažu alati i tehnike za implementaciju detekcijskih rješenja. Rad se temelji na pregledima relevantne literature, analizi stvarnih scenarija i dostupnim tehničkim alatima. Istražuju se koncepti i infrastruktura Command and Control (C2) sustava, s posebnim naglaskom na Havoc C2 server. Analiziraju se karakteristike ovog alata, metode detekcije koje se koriste za prepoznavanje njegove aktivnosti te predlažu alati i tehnike za implementaciju detekcijskih rješenja. Rad se temelji na pregledima relevantne literature, analizi stvarnih scenarija i dostupnim tehničkim alatima.
Redak 7: Redak 7:
 Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću. Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću.
  
-Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti dublje razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom.+Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom.
  
 ===== Osnove C2 infrastrukture ===== ===== Osnove C2 infrastrukture =====
Redak 16: Redak 16:
   * **Komunikacijski protokoli:** Kanali za prijenos podataka (HTTP, HTTPS, DNS, SMB, itd.) koji se često koriste za prikrivanje aktivnosti.   * **Komunikacijski protokoli:** Kanali za prijenos podataka (HTTP, HTTPS, DNS, SMB, itd.) koji se često koriste za prikrivanje aktivnosti.
  
-Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju. Razumijevanje ovih osnovnih elemenata ključno je za detekciju i mitigaciju napada.+Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju.
  
 ==== Havoc C2 Server ==== ==== Havoc C2 Server ====
Redak 25: Redak 25:
   * **Kompatibilnost:** Omogućuje integraciju s raznim operativnim sustavima i alatima.   * **Kompatibilnost:** Omogućuje integraciju s raznim operativnim sustavima i alatima.
  
-Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera, što je ključan aspekt razumijevanja njegove infrastrukture:+Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera:
  
-{{https://miro.medium.com/v2/resize:fit:420/format:webp/1*x8RMipuRVxhhgO8YsS303w.png|Havoc C2 promet između klijenta i servera|460x}}+{{https://miro.medium.com/v2/resize:fit:420/format:webp/1*x8RMipuRVxhhgO8YsS303w.png?685|Havoc C2 promet između klijenta i servera}}
  
-odnosno komunikacija agenata sa tzv. 'teamserverom'+odnosno komunikacija agenata sa tzv. 'teamserverom' kojim upravljaju daemoni:
  
-{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1940f64c03a80aa3abae_66be1e5500dba40c30847861_havoc-docs-1024x603.png|Havoc C2 promet između daemona, agenata i teamservera|460x200}}+{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1940f64c03a80aa3abae_66be1e5500dba40c30847861_havoc-docs-1024x603.png?685|Havoc C2 promet između daemona, agenata i teamservera}}
  
 ==== Metode detekcije ==== ==== Metode detekcije ====
Redak 48: Redak 48:
     - Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne).     - Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne).
  
 +Naime, kao što su to napravili kolege iz [[https://www.immersivelabs.com/|Immersive Labs]], moguće je napraviti [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics/blob/main/Volatility/havoc.py|automatizirane provjere nad stanjem memorije i interferencijom agenata nad njom]] koje, prilikom skeniranja procesa i memorije, ispisuju sljedeće:
 +
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd6_66be1e5500dba40c3084785e_volatility-plugin-1024x202.png?685|Havoc C2 volatility plugin output}}
 +
 +A što se tiče skeniranja mrežnog prometa, razvili su i [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics|automatizirani parser Havoc C2 prometa]] koji ispisuje:
 +
 +{{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd9_66be1e5400dba40c30847804_pcap-parser-working-1024x367.png?685|Havoc C2 pcap parser script output}}
 +
 +Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i [[https://www.youtube.com/watch?v=PmJhaifFLV8|video]] (YouTube kanal "cyberlabz").
  
 ==== Implementacija i alati ==== ==== Implementacija i alati ====
Redak 57: Redak 66:
   * **Simulacija napada:** Upotreba alata poput Metasploita za testiranje sigurnosnih mjera.   * **Simulacija napada:** Upotreba alata poput Metasploita za testiranje sigurnosnih mjera.
  
-Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i [[https://www.youtube.com/watch?v=PmJhaifFLV8|video]] (YouTube kanal "cyberlabz"). 
  
  
racfor_wiki/seminari2024/detekcija_havoc_c2_servera.1737571507.txt.gz · Zadnja izmjena: 2025/01/22 18:45 od Kosanović Andro
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0