Zusammenfassung
Superpeinlich, wenn man als seriöses Unternehmen eine C2-Infrastruktur hostet, oder? Oder wenn das rote Team das blaue Team besiegt?
Dank der Popularität von Threat Intelligence wissen die meisten Unternehmen, dass sie externe Verbindungen zu C2-Infrastrukturen blockieren müssen, aber was passiert, wenn Sie derjenige sind, der sie hostet? Sicher, Sie können darauf warten, dass das FBI Sie benachrichtigt, wenn Sie Teil einer kritischen Infrastruktur sind, oder Sie können weiterlesen und erfahren, wie Censys eine Chance bietet, proaktiv zu handeln. Lassen Sie uns nun einen Schritt zurücktreten und uns die Waffen ansehen, für wen sie bestimmt sind und wie die Angreifer unsere eigenen Waffen gegen uns einsetzen.
Was ist eine C2-Infrastruktur?
Der Begriff "C2" steht für Command and Control, auch bekannt als C&C. Dabei handelt es sich um Software, die zur Steuerung der Server verwendet wird, auf denen sie über das Internet erscheint. Wie jede Software haben sie eindeutig identifizierbare Standardeinstellungen und -konfigurationen. Dies kann Sicherheitsexperten Werkzeuge an die Hand geben, um ihre Verteidigung zu testen, aber sie können auch für böswillige Aktionen genutzt werden.
Wer nutzt die C2-Infrastruktur?
Das Gute
Penetrationstester - oft auch Pen-Tester, Red Teamers, Ethical Hackers oder White Hat Hackers genannt - sind Cybersicherheitsexperten, die die Sicherheitskontrollen von Unternehmen testen. Sie versetzen sich in die Denkweise eines Angreifers und versuchen, in das Unternehmen einzudringen, indem sie die Lücken finden. Penetrationstester nutzen häufig die C2-Infrastruktur, um ihre Tests durchzuführen.
... und das Schlechte.
Angreifer - Externe Parteien mit böswilligen Absichten verfügen über eine Vielzahl von benutzerdefinierten und Open-Source-Tools zur Durchführung von Befehls- und Steuerungsaktivitäten. Angreifer nutzen die C2-Infrastruktur, um Befehle zur Ausführung von Malware zu erteilen, sich seitlich durch das Netzwerk des Opfers zu bewegen und Daten zu exfiltrieren.
Angreifer nutzen die C2-Infrastruktur auch zur Steuerung von Botnets. Botnets werden häufig für die Verbreitung von Spam genutzt, können aber auch für ruchlosere Aktivitäten wie Denial-of-Service-Angriffe und das Abgreifen von Daten eingesetzt werden.
Das jüngste Beispiel dafür, dass Angreifer unsere Tools gegen uns verwenden, wurde im Juni 2022 beobachtet. Von den über 4,7 Millionen Hosts, die Censys in Russland beobachtete, entdeckte Censys zwei russische Hosts, die ein Exploitation-Tool, Metasploit, und ein Command-and-Control-Tool (C2), Deimos C2, enthielten. Mehr über dieses spezielle Beispiel erfahren Sie in unserem Blog-Beitrag Russisches Ransomware C2-Netzwerk in Censys Daten entdeckt.
Wie konnten die Angreifer uns überrumpeln?
Die gleichen Tools, die Penetrationstester einsetzen, um die Sicherheit Ihres Unternehmens zu gewährleisten, können von Angreifern als Waffe eingesetzt werden, um die Kontrolle zu übernehmen. Ein vielbeachtetes Beispiel hierfür ist die Cobalt Strike Malware-Familie. Cobalt Strike ist eine kostenpflichtige "[s]oftware for Adversary Simulations and Red Team Operations", wie es auf der offiziellen Cobalt Strike-Website zum Zeitpunkt der Veröffentlichung heißt. Es nutzt einen Agenten namens Beacon, um Aktivitäten durchzuführen, die sich herkömmlichen Sicherheitskontrollen entziehen. Beacon ist vollständig anpassbar und bietet unendlich viele Möglichkeiten zur Konfiguration. Die Kernprinzipien von Cobalt Strike, die es zu einem leistungsstarken Tool zum Testen Ihrer Sicherheitskontrollen machen, sind die gleichen Prinzipien, die es so schwierig machen, den Angriff zu erkennen.
Darüber hinaus kostet es laut der Website von Cobalt Strike nur 3.500 US-Dollar pro Jahr und Nutzer, was die Einstiegshürde für Angreifer relativ niedrig hält, wenn sie eine legale Lizenz in die Finger bekommen. Cobalt Strike tut, was es kann, um den Verkauf auf legitime Nutzer zu beschränken, aber wie jede Software unterliegt auch diese der Piraterie und dem illegalen Vertrieb von Lizenzen auf Sekundärmärkten wie dem Dark Web. Noch schlimmer ist, dass die Nutzung von Cobalt Strike durch Angreifer laut einem Bericht vom letzten Jahr weiter zunimmt: "Die Nutzung von Cobalt Strike stieg von 2019 bis 2020 um 161 Prozent und bleibt auch 2021 eine große Bedrohung."
Cobalt Strike mag zwar eines der berüchtigtsten Penetrationstest-Tools sein, das für böswillige Aktivitäten eingesetzt wird, aber es könnte bald gute Gesellschaft bekommen. DarkReading berichtete vor kurzem, dass das neueste Open-Source-Tool von BishopFox, "Sliver", nun als kostenlose Alternative für Angreifer auftaucht. "Verteidiger haben jetzt mehr und mehr Erfolg bei der Erkennung und Bekämpfung von Cobalt Strike. Daher ist der Übergang von Cobalt Strike zu Frameworks wie Sliver zu erwarten. Angesichts der Tatsache, dass Angreifer beginnen, Sicherheitstools als Waffe gegen diejenigen einzusetzen, die sie schützen sollen, müssen wir wachsamer sein und mehrere Möglichkeiten haben, um die Angreifer zu erwischen.
Wie kann Censys helfen?
Vor diesem Hintergrund haben wir hier auf Censys kürzlich versucht, alle interessanten C2-Dienste, die wir finden konnten, zu identifizieren und zu kennzeichnen. Dabei haben wir verschiedene Methoden angewandt, von bereits im Internet verfügbaren Informationen bis hin zum Herunterladen, Ausführen und Identifizieren der Dienste selbst. Dank dieser Bemühungen sind wir in der Lage, Fingerabdrücke der gängigsten C2-Tools zu erstellen, die als Penetrationstest-Tools beworben werden:
Cobalt Strike - Censys Search
Splitter - Censys Search
Pakt - Censys Search
Mythisch - Censys Search
PoshC2 - Censys Search
Die oben genannten Abfragen Censys Search ermöglichen Ad-hoc-Recherchen und Ermittlungen. Censys ASM geht noch einen Schritt weiter, um den Aufwand für die Erkennung von C2 zu verringern. Censys ASM kann nun erkennen, wenn solche Tools mit ihrer Standardkonfiguration in Ihrem Netzwerk auftauchen und unser Risiko-Framework nutzen. Entweder helfen wir Ihrem blauen Team, das rote Team zu fangen (Go Defense!) oder auf der dunkleren Seite eine fortgeschrittene anhaltende Bedrohung in Ihrem Netzwerk.
Möchten Sie mehr erfahren? Klicken Sie hier, um Censys zu kontaktieren.
Kontakt