Skip to content
Rejoignez le forum de la communauté Censys : Se connecter, partager et prospérer ! | Commencez ici
Blogs

C2 : Quand les attaquants utilisent nos armes contre nous

Partager

7 septembre 2022
Tags :

Résumé

C'est très embarrassant quand on héberge l'infrastructure C2 comme une entreprise respectable, n'est-ce pas ? Ou lorsque l'équipe rouge bat l'équipe bleue ?

Grâce à la popularisation du renseignement sur les menaces, la plupart des organisations savent qu'elles doivent bloquer les connexions externes à l'infrastructure C2, mais que se passe-t-il lorsque c'est vous qui l'hébergez ? Bien sûr, vous pouvez attendre que le FBI vous avertisse si vous faites partie d'une infrastructure critique, ou vous pouvez lire la suite pour apprendre comment Censys vous donne la possibilité d'être proactif. Prenons maintenant un peu de recul et examinons les armes, leurs destinataires et la manière dont les attaquants utilisent nos propres armes contre nous.

Qu'est-ce que l'infrastructure C2 ?

Le terme "C2" signifie "Command and Control" (commande et contrôle), également connu sous le nom de "C&C". Il s'agit de logiciels utilisés pour contrôler les serveurs sur lesquels ils apparaissent sur l'internet. Comme tout logiciel, ils ont des paramètres et des configurations par défaut identifiables de manière unique. Les professionnels de la sécurité peuvent ainsi disposer d'outils pour tester leurs défenses, mais ils peuvent aussi être utilisés pour des actions malveillantes.

Qui utilise l'infrastructure C2 ?

Le bon

Les testeurs de pénétration - souvent appelés Pen Testers, Red Teamers, Ethical Hackers ou White Hat Hackers - sont des professionnels de la cybersécurité qui testent les contrôles de sécurité des organisations. Ils adoptent l'état d'esprit d'un attaquant pour tenter de pénétrer l'organisation en trouvant les failles. Les testeurs de pénétration utilisent souvent l'infrastructure C2 pour lancer leurs activités de test.

... et le mauvais.

Attaquants - Les parties externes ayant des intentions malveillantes disposent d'une variété d'outils personnalisés et de sources ouvertes pour mener des activités de commandement et de contrôle. Les attaquants utiliseront l'infrastructure C2 pour émettre des commandes afin d'exécuter des logiciels malveillants, de se déplacer latéralement dans le réseau des victimes et d'exfiltrer des données.

Les attaquants utilisent également l'infrastructure C2 pour commander des réseaux de zombies. On se souvient souvent des botnets pour la distribution de spam, mais ils peuvent également être utilisés pour des activités plus néfastes telles que les attaques par déni de service et le siphonnage de données.

Notre dernier exemple d'attaquants utilisant nos outils contre nous a été observé en juin 2022. Sur plus de 4,7 millions d'hôtes observés par Censys en Russie, Censys a découvert deux hôtes russes contenant un outil d'exploitation, Metasploit, et un outil de commande et de contrôle (C2), Deimos C2. Pour en savoir plus sur cet exemple particulier, consultez notre article de blog intitulé Russian Ransomware C2 Network Discovered in Censys Data.

Comment les attaquants nous ont-ils devancés ?

Les mêmes outils que les testeurs de pénétration utilisent pour assurer la sécurité de votre organisation peuvent être utilisés par les attaquants pour prendre le contrôle de la situation. La famille de logiciels malveillants Cobalt Strike en est un exemple très médiatisé. Cobalt Strike est un "logiciel payant de simulation d'adversaires et d'opérations d'équipe rouge", tel que défini sur le site officiel de Cobalt Strike au moment de la publication. Il s'appuie sur un agent appelé Beacon pour mener des activités qui échappent aux contrôles de sécurité traditionnels. Beacon est entièrement personnalisable et offre une infinité de possibilités de configuration. Les principes fondamentaux de Cobalt Strike, qui en font un outil puissant pour tester vos contrôles de sécurité, sont les mêmes qui le rendent si difficile à détecter.

En outre, il ne coûte que 3 500 dollars par an et par utilisateur, selon le site web de Cobalt Strike, ce qui rend la barrière à l'entrée relativement basse pour les attaquants s'ils parviennent à mettre la main sur une licence légitime. Cobalt Strike fait ce qu'il peut pour limiter les ventes aux utilisateurs légitimes, mais comme tout logiciel, il est sujet au piratage et à la distribution illégale de licences sur des marchés secondaires tels que le Dark Web. Le pire, c'est que l'utilisation de Cobalt Strike par les attaquants continue d'augmenter, selon un rapport datant de l'année dernière : "l'utilisation de Cobalt Strike a augmenté de 161 % entre 2019 et 2020 et reste une menace à fort volume en 2021".

Si Cobalt Strike est l'un des outils de test d'intrusion les plus connus utilisés pour des activités malveillantes, il pourrait bientôt être rejoint par une bonne compagnie. DarkReading a récemment rapporté que le dernier outil open source de BishopFox, "Sliver", apparaît désormais comme une alternative gratuite pour les attaquants. "Les défenseurs ont de plus en plus de succès dans la détection et l'atténuation de Cobalt Strike. Il faut donc s'attendre à une transition de Cobalt Strike vers des cadres tels que Sliver". Les attaquants commençant à utiliser des outils de sécurité contre ceux qui sont censés les protéger, nous devons être plus vigilants et disposer de plusieurs moyens d'attraper les attaquants.

Comment Censys peut-il vous aider ?

C'est dans cet esprit que notre organisation de réaction rapide, Censys , s'est récemment efforcée d'identifier tous les services C2 intéressants qu'elle a pu trouver et d'en dresser l'empreinte digitale. Pour ce faire, nous avons utilisé plusieurs méthodes, depuis les informations déjà disponibles sur l'internet jusqu'au téléchargement, à l'exécution et à l'identification des services par nos soins. Grâce à ces efforts, nous sommes en mesure d'identifier les outils C2 les plus courants qui sont présentés comme des outils de test de pénétration :

Cobalt Strike - Censys Recherche
Sliver - Censys Recherche
Covenant - Censys Recherche
Mythic - Censys Recherche
PoshC2 - Censys Recherche

Les requêtes de recherche Censys fournies ci-dessus permettent une recherche et une investigation ad hoc. Censys ASM va encore plus loin en réduisant le niveau d'effort nécessaire pour attraper C2. Dès sa sortie de l'emballage, Censys ASM peut désormais identifier les outils de ce type qui apparaissent sur votre réseau avec leur configuration par défaut, en s'appuyant sur notre cadre de risque. Soit nous aidons votre équipe bleue à attraper l'équipe rouge (Go Defense !) ou, du côté plus sombre, une menace persistante avancée dans votre réseau.

Vous souhaitez en savoir plus ? Cliquez ici pour contacter Censys.

Nous contacter

A propos de l'auteur

Jill Cagliostro
Jill Cagliostro
Principal Product Management
Jill Cagliostro est une chef de produit obsédée par le client dans l'industrie de la sécurité. Sa profonde compréhension des problèmes rencontrés par les clients provient de sa propre expérience du monde réel dans le SOC. Elle a commencé sa carrière dans une grande institution financière où elle s'est concentrée sur l'opérationnalisation et l'architecture de leur solution SIEM d'entreprise et sur la mise en place de leur programme de renseignement sur les menaces. Elle a apporté son expérience à Anomali, où elle a dirigé l'équipe chargée de la réussite des clients pour la région Est et fédérale. Elle est ensuite devenue chef de produit pour se rapprocher du produit et s'assurer que la stratégie du produit s'aligne sur les besoins des clients dans des entreprises comme Anomali, Recorded Future, Splunk et, plus récemment, Censys où elle est chef de produit principal. Elle est une "Double Jacket", ayant terminé ses études de premier et de second cycle à Georgia Tech, respectivement en informatique et en cybersécurité.
Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus