Ir al contenido
Únase al foro de la comunidad Censys : Conectar, compartir y prosperar | Empieza aquí
Blogs

C2: Cuando los atacantes usan nuestras armas contra nosotros

Compartir

7 de septiembre de 2022
Etiquetas:

Resumen

Supervergonzoso cuando alojas infraestructura C2 como una empresa respetable, ¿verdad? ¿O cuando el Equipo Rojo vence al Equipo Azul?

Gracias a la popularización de la Inteligencia de Amenazas, la mayoría de las organizaciones son conscientes de la necesidad de bloquear las conexiones externas a la infraestructura C2, pero ¿qué ocurre cuando eres tú quien la aloja? Claro, puede esperar a que el FBI le notifique si forma parte de una infraestructura crítica, o puede seguir leyendo para saber cómo Censys le brinda la oportunidad de ser proactivo. Ahora demos un paso atrás y analicemos las armas, a quién van dirigidas y cómo los atacantes están utilizando nuestras propias armas contra nosotros.

¿Qué es la infraestructura C2?

El término "C2" significa Mando y Control, también conocido como C&C. Se trata de piezas de software utilizadas para controlar los servidores en los que aparecen a través de Internet. Como cualquier software, tienen ajustes y configuraciones por defecto identificables de forma única. Esto puede proporcionar a los profesionales de la seguridad herramientas para probar sus defensas, pero también pueden aprovecharse para acciones maliciosas.

¿Quién utiliza la infraestructura C2?

Lo bueno

Penetration Testers - A menudo llamados Pen Testers, Red Teamers, Ethical Hackers o White Hat Hackers son profesionales de la ciberseguridad que ponen a prueba los controles de seguridad de las organizaciones. Asumen la mentalidad de un atacante para intentar penetrar en la organización encontrando las brechas. Los probadores de penetración suelen utilizar la infraestructura C2 para poner en marcha sus actividades de prueba.

... y lo malo.

Atacantes - Las partes externas con intenciones maliciosas disponen de una variedad de herramientas personalizadas y de código abierto para llevar a cabo actividades de mando y control. Los atacantes utilizarán la infraestructura C2 para emitir órdenes de ejecución de malware, desplazarse lateralmente por la red de las víctimas y filtrar datos.

Los atacantes también utilizan la infraestructura C2 para dirigir botnets. Las botnets suelen recordarse por distribuir spam, pero también pueden aprovecharse para actividades más nefastas, como ataques de denegación de servicio y desvío de datos.

Nuestro último ejemplo de atacantes que utilizan nuestras herramientas contra nosotros se observó en junio de 2022. De los más de 4,7 millones de hosts que Censys observó en Rusia, Censys descubrió dos hosts rusos que contenían una herramienta de explotación, Metasploit, y una herramienta de mando y control (C2), Deimos C2. Obtenga más información sobre este ejemplo concreto en nuestra publicación de blog, Russian Ransomware C2 Network Discovered in Censys Data.

¿Cómo nos han adelantado los atacantes?

Las mismas herramientas que los especialistas en pruebas de penetración utilizan para mantener la seguridad de su organización pueden ser utilizadas por los atacantes para tomar el mando y el control. Un ejemplo muy publicitado de esto sería la familia de malware Cobalt Strike. Cobalt Strike es un "[s]oftware de pago para simulaciones de adversarios y operaciones de equipos rojos", como se define en el sitio web oficial de Cobalt Strike en el momento de la publicación. Aprovecha un agente llamado Beacon para llevar a cabo actividades que evaden los controles de seguridad tradicionales por diseño. Beacon es totalmente personalizable, ofreciendo infinitas formas de configuración. Esto hace que sea casi imposible detectar el ataque con cualquier herramienta de seguridad debido a la variedad de formas en que puede manifestarse.Los principios básicos de Cobalt Strike que lo convierten en una poderosa herramienta para poner a prueba sus controles de seguridad son los mismos principios que hacen que sea tan difícil de detectar.

Además, sólo cuesta 3.500 dólares al año por usuario, según el sitio web de Cobalt Strike, lo que hace que la barrera de entrada sea relativamente baja para los atacantes si consiguen hacerse con una licencia legítima. Cobalt Strike hace lo que puede para restringir las ventas a usuarios legítimos, pero como cualquier software, está sujeto a la piratería y a la distribución ilegal de licencias en mercados secundarios como la Dark Web. Lo peor es que el uso de Cobalt Strike por parte de los atacantes sigue aumentando según un informe del año pasado: "el uso de Cobalt Strike aumentó un 161% de 2019 a 2020 y sigue siendo una amenaza de alto volumen en 2021".

Mientras que Cobalt Strike puede ser una de las herramientas de pruebas de penetración más notorias utilizadas para actividades maliciosas, puede que pronto se le una una buena compañía. DarkReading informó recientemente de que la herramienta de código abierto más reciente de BishopFox, 'Sliver', se perfila ahora como una alternativa gratuita para los atacantes. "Los defensores están teniendo cada vez más éxito en la detección y mitigación contra Cobalt Strike. Por lo tanto, la transición de Cobalt Strike a marcos como Sliver es de esperar". Ahora que los atacantes empiezan a utilizar las herramientas de seguridad como armas contra las que pretenden proteger, tenemos que estar más atentos y pensar en varias formas de atrapar a los atacantes.

¿Cómo puede ayudar Censys ?

Teniendo esto en cuenta, en Censys hemos realizado un esfuerzo reciente dentro de nuestra organización de respuesta rápida para identificar todos los servicios C2 interesantes que hemos podido encontrar. Para ello hemos utilizado varios métodos, desde información ya disponible en Internet hasta la descarga, ejecución e identificación de los servicios por nuestra cuenta. Gracias a estos esfuerzos, somos capaces de identificar las herramientas C2 más comunes que se anuncian como herramientas de pruebas de penetración:

Huelga de cobalto - Censys Buscar
Sliver - Censys Buscar
Covenant - Censys Buscar
Mythic - Censys Buscar
PoshC2 - Censys Buscar

Las consultas de búsqueda de Censys facilitadas anteriormente permiten realizar búsquedas e investigaciones ad hoc. Censys ASM va un paso más allá para reducir el nivel de esfuerzo para capturar C2. Desde el primer momento, Censys ASM puede identificar cuándo aparecen herramientas de este tipo en su red con su configuración predeterminada aprovechando nuestro marco de riesgos. O bien ayudamos a su equipo azul a atrapar al equipo rojo (¡Vamos Defensa!) o, en el lado más oscuro, a una amenaza persistente avanzada en su red.

¿Desea más información? Haga clic aquí para ponerse en contacto con Censys.

Póngase en contacto con nosotros

Sobre el autor

Jill Cagliostro
Jill Cagliostro
Gestión principal de productos
Jill Cagliostro es una líder de producto obsesionada con el cliente en el sector de la seguridad. Su profundo conocimiento de los puntos débiles de los clientes proviene de su propia experiencia real en el SOC. Comenzó su carrera en una gran institución financiera, donde se centró en la puesta en marcha y la arquitectura de su solución SIEM empresarial y en el establecimiento de su programa de inteligencia sobre amenazas. Aportó su experiencia a Anomali, donde dirigió el equipo de éxito de clientes para la región Este y Federal. Cambió a Directora de Producto para acercarse más al producto y asegurar que la estrategia de producto se alinea con las necesidades del cliente en empresas como Anomali, Recorded Future, Splunk y, más recientemente, Censys , donde es Directora Principal de Producto. Ella es una "Doble Chaqueta" habiendo completado sus estudios universitarios y de postgrado en Georgia Tech en Ciencias de la Computación y Ciberseguridad, respectivamente.
Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información