Detekcija Havoc C2 Servera

Istražuju se koncepti i infrastruktura Command and Control (C2) sustava, s posebnim naglaskom na Havoc C2 server. Analiziraju se karakteristike ovog alata, metode detekcije koje se koriste za prepoznavanje njegove aktivnosti te predlažu alati i tehnike za implementaciju detekcijskih rješenja. Rad se temelji na pregledima relevantne literature, analizi stvarnih scenarija i dostupnim tehničkim alatima.

Command and Control (C2) sustavi predstavljaju ključni element u operacijama kibernetičkih napada. Oni omogućuju napadačima komunikaciju s kompromitiranim sustavima, izvršavanje naredbi i prikupljanje osjetljivih podataka. Među mnogim dostupnim C2 alatima, Havoc C2 ističe se modularnošću, fleksibilnošću i prikrivenošću.

Definiraju se osnovni pojmovi C2 infrastrukture, analiziraju karakteristike Havoc C2 servera te razmatraju metode za njegovu detekciju i suzbijanje. Svrha je pružiti razumijevanje tehnologije i metoda koje se koriste za detekciju zlonamjernih aktivnosti povezanih s ovim alatom.

C2 infrastruktura sastoji se od komponenti koje omogućuju napadačima kontrolu nad kompromitiranim sustavima. Ključni elementi uključuju:

• C2 server: Centralna komponenta koja izdaje naredbe i prikuplja podatke.
• Beacon (agent): Softverski entitet instaliran na kompromitiranom sustavu koji komunicira s C2 serverom.
• Komunikacijski protokoli: Kanali za prijenos podataka (HTTP, HTTPS, DNS, SMB, itd.) koji se često koriste za prikrivanje aktivnosti.

Napredne C2 infrastrukture koriste tehnike poput enkapsulacije podataka, enkripcije i dinamičkih IP adresa kako bi izbjegle detekciju.

Havoc C2 predstavlja moderni open-source Command and Control okvir razvijen za napredne prijetnje. Ključne karakteristike uključuju:

• Modularna arhitektura: Podržava dodatke za prilagodbu funkcionalnosti.
• Prikrivenost: Koristi napredne metode za izbjegavanje antivirusnih i EDR sustava, uključujući indirektne sistemske pozive i obfuscaciju spavanja.
• Kompatibilnost: Omogućuje integraciju s raznim operativnim sustavima i alatima.

Sljedeća slika ilustrira promet između Havoc C2 klijenta i servera:

odnosno komunikacija agenata sa tzv. 'teamserverom' kojim upravljaju daemoni:

Detekcija C2 aktivnosti, uključujući Havoc C2, zahtijeva kombinaciju tehnoloških i analitičkih pristupa. Najčešće metode uključuju:

1. Analiza mrežnog prometa:
   1. Prepoznavanje abnormalnih uzoraka u komunikaciji.
   2. Identifikacija enkripcije i tuneliranja podataka.
2. Prikupljanje podataka s krajnjih točaka:
   1. Praćenje izvršavanja zlonamjernih procesa.
   2. Analiza registra i datotečnih sustava za tragove kompromitacije.
3. Primjena strojnog učenja:
   1. Razvoj modela za prepoznavanje zlonamjernih aktivnosti temeljenih na povijesnim podacima.
4. Upotreba sigurnosnih alata:
   1. IDS/IPS sustavi (npr. Snort, Suricata).
   2. Endpoint Detection and Response (EDR) alati (npr. CrowdStrike, SentinelOne).

Naime, kao što su to napravili kolege iz Immersive Labs, moguće je napraviti automatizirane provjere nad stanjem memorije i interferencijom agenata nad njom koje, prilikom skeniranja procesa i memorije, ispisuju sljedeće:

A što se tiče skeniranja mrežnog prometa, razvili su i automatizirani parser Havoc C2 prometa koji ispisuje:

Za detaljniji pregled metode lova na prijetnje koristeći Havoc C2 i Security Onion SIEM, dostupan je i video (YouTube kanal “cyberlabz”).

Za uspješnu detekciju Havoc C2 aktivnosti preporučuje se korištenje sljedećih alata i tehnika:

• Mrežni monitori: Alati poput Wiresharka i Zeeka za analizu mrežnog prometa.
• Automatizacija: Korištenje skripti i alata za automatiziranu analizu logova (npr. ELK stack).
• Sigurnosni frameworki: Implementacija MITRE ATT&CK matrice za kategorizaciju tehnika napada.
• Simulacija napada: Upotreba alata poput Metasploita za testiranje sigurnosnih mjera.

Havoc C2 server pokazuje se kao sofisticiran alat koji se koristi u naprednim kibernetičkim napadima. Njegova modularnost i prikrivenost čine ga izazovom za detekciju. Kombinacija analiza mrežnog prometa, prikupljanja podataka s krajnjih točaka i upotrebe naprednih alata ključna je za uspješnu identifikaciju i mitigaciju prijetnji povezanih s ovim alatom. Buduća istraživanja trebala bi se usmjeriti na razvoj inovativnih tehnika i algoritama za prepoznavanje zlonamjernih aktivnosti u stvarnom vremenu.

1. MITRE ATT&CK Framework
2. Havoc C2 GitHub Repository
3. Zeek Network Security Monitor
4. CrowdStrike Endpoint Detection and Response
5. Suricata IDS/IPS