====== Detekcija Havoc C2 Servera ====== ===== Sažetak ===== Istražuju se koncepti i infrastruktura Command and Control (C2) sustava, s posebnim naglaskom na Havoc C2 server. Analiziraju se karakteristike ovog alata, metode detekcije koje se koriste za prepoznavanje njegove aktivnosti te predlažu alati i tehnike za implementaciju detekcijskih rješenja. Rad se temelji na pregledima relevantne literature, analizi stvarnih scenarija i dostupnim tehničkim alatima. ===== Uvod ===== Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću. Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom. ===== Osnove C2 infrastrukture ===== C2 infrastruktura sastoji se od komponenti koje omogućuju napadačima kontrolu nad kompromitiranim sustavima. Ključni elementi uključuju: * **C2 server:** Centralna komponenta koja izdaje naredbe i prikuplja podatke. * **Beacon (agent):** Softverski entitet instaliran na kompromitiranom sustavu koji komunicira s C2 serverom. * **Komunikacijski protokoli:** Kanali za prijenos podataka (HTTP, HTTPS, DNS, SMB, itd.) koji se često koriste za prikrivanje aktivnosti. Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju. ==== Havoc C2 Server ==== Havoc C2 predstavlja moderni open-source Command and Control okvir razvijen za napredne prijetnje. Ključne karakteristike uključuju: * **Modularna arhitektura:** Podržava dodatke za prilagodbu funkcionalnosti. * **Prikrivenost:** Koristi napredne metode za izbjegavanje antivirusnih i EDR sustava, uključujući indirektne sistemske pozive i obfuscaciju spavanja. * **Kompatibilnost:** Omogućuje integraciju s raznim operativnim sustavima i alatima. Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera: {{https://miro.medium.com/v2/resize:fit:420/format:webp/1*x8RMipuRVxhhgO8YsS303w.png?685|Havoc C2 promet između klijenta i servera}} odnosno komunikacija agenata sa tzv. 'teamserverom' kojim upravljaju daemoni: {{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1940f64c03a80aa3abae_66be1e5500dba40c30847861_havoc-docs-1024x603.png?685|Havoc C2 promet između daemona, agenata i teamservera}} ==== Metode detekcije ==== Detekcija C2 aktivnosti, uključujući Havoc C2, zahtijeva kombinaciju tehnoloških i analitičkih pristupa. Najčešće metode uključuju: - **Analiza mrežnog prometa:** - Prepoznavanje abnormalnih uzoraka u komunikaciji. - Identifikacija enkripcije i tuneliranja podataka. - **Prikupljanje podataka s krajnjih točaka:** - Praćenje izvršavanja zlonamjernih procesa. - Analiza registra i datotečnih sustava za tragove kompromitacije. - **Primjena strojnog učenja:** - Razvoj modela za prepoznavanje zlonamjernih aktivnosti temeljenih na povijesnim podacima. - **Upotreba sigurnosnih alata:** - IDS/IPS sustavi (npr. Snort, Suricata). - Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne). Naime, kao što su to napravili kolege iz [[https://www.immersivelabs.com/|Immersive Labs]], moguće je napraviti [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics/blob/main/Volatility/havoc.py|automatizirane provjere nad stanjem memorije i interferencijom agenata nad njom]] koje, prilikom skeniranja procesa i memorije, ispisuju sljedeće: {{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd6_66be1e5500dba40c3084785e_volatility-plugin-1024x202.png?685|Havoc C2 volatility plugin output}} A što se tiče skeniranja mrežnog prometa, razvili su i [[https://github.com/Immersive-Labs-Sec/HavocC2-Forensics|automatizirani parser Havoc C2 prometa]] koji ispisuje: {{https://cdn.prod.website-files.com/668bea3cd6961bc263d9da18/66fd1941f64c03a80aa3abd9_66be1e5400dba40c30847804_pcap-parser-working-1024x367.png?685|Havoc C2 pcap parser script output}} Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i [[https://www.youtube.com/watch?v=PmJhaifFLV8|video]] (YouTube kanal "cyberlabz"). ==== Implementacija i alati ==== Za uspješnu detekciju Havoc C2 aktivnosti preporučuje se korištenje sljedećih alata i tehnika: * **Mrežni monitori:** Alati poput Wiresharka i Zeeka za analizu mrežnog prometa. * **Automatizacija:** Korištenje skripti i alata za automatiziranu analizu logova (npr. ELK stack). * **Sigurnosni frameworki:** Implementacija MITRE ATT&CK matrice za kategorizaciju tehnika napada. * **Simulacija napada:** Upotreba alata poput Metasploita za testiranje sigurnosnih mjera. ===== Zaključak ===== Havoc C2 server pokazuje se kao sofisticiran alat koji se koristi u naprednim kibernetičkim napadima. Njegova modularnost i prikrivenost čine ga izazovom za detekciju. Kombinacija analiza mrežnog prometa, prikupljanja podataka s krajnjih točaka i upotrebe naprednih alata ključna je za uspješnu identifikaciju i mitigaciju prijetnji povezanih s ovim alatom. Buduća istraživanja trebala bi se usmjeriti na razvoj inovativnih tehnika i algoritama za prepoznavanje zlonamjernih aktivnosti u stvarnom vremenu. ===== Literatura ===== - [[https://attack.mitre.org/|MITRE ATT&CK Framework]] - [[https://github.com/HavocFramework/Havoc|Havoc C2 GitHub Repository]] - [[https://zeek.org/|Zeek Network Security Monitor]] - [[https://www.crowdstrike.com/|CrowdStrike Endpoint Detection and Response]] - [[https://suricata.io/|Suricata IDS/IPS]]