Недавно на просторах интернета вышла статья с заголовком "
C2 (C&C) или просто Comand and Control
Чтобы получить реальную выгоду, злоумышленник должен поддерживать постоянное функционирование вируса в целевой среде, обмениваться данными с зараженными или скомпрометированными устройствами внутри сети и потенциально извлекать конфиденциальные данные. Для выполнения всех этих задач требуется надежная инфраструктура управления и контроля, или C2.
Распространенной стратегией является смешивание с другими типами легитимного трафика, например, `HTTP/HTTPS` или `DNS`. Наглядно построение канала будет выглядеть таким образом
Но в нашем случае нам интересует техника под номером
T1102.001 Dead Drop Resolver сразу на примере
Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.
Как это работает мы будем разбираться на примере софта LummaC2 потому что именно на этот софт можно найти максимально много информации в интернете, например на просторах интернета хранится статья от предположительных разработчиков данного софта, прочитать ее можно
Данная утилита отличается шифрованием адреса сервера, поэтому непонятный набор символов в имени профиля не является адресом сервера. НО мы можем его расширвать
Таким образом мы нашли истинный адрес C2C сервера
Шаги подобной атаки:
1. Создание C2 сервера:
- Злоумышленник устанавливает и настраивает LummaC2 на своем сервере.
- Создается C2 сервер, который будет служить центральным узлом для управления атакой.
2. Создание C2 клиента:
- Злоумышленник создает C2 клиент, который будет установлен на целевой системе.
- C2 клиент содержит информацию о C2 сервере и может быть закодирован или замаскирован.
3. Размещение ссылки на C2 сервер:
- Злоумышленник создает профиль в социальной сети, например, в Steam.
- В имени профиля или в другом видимом месте размещается ссылка на C2 сервер. Эта ссылка может быть замаскирована или закодирована.
4. Инфекция жертвы:
- Жертва, посещая профиль злоумышленника, видит ссылку и, возможно, кликает на нее.
- Клик на ссылку может привести к загрузке вредоносного ПО на систему жертвы.
5. Загрузка и установка вредоносного ПО:
- Вредоносное ПО, содержащее C2 клиент, загружается и устанавливается на системе жертвы.
- C2 клиент устанавливает соединение с C2 сервером и начинает выполнять команды.
6. Кража cookie браузера:
- Злоумышленник отправляет команду через C2 сервер к C2 клиенту на системе жертвы.
- Команда может включать инструкции для извлечения cookie браузера.
- C2 клиент выполняет команду и извлекает cookie браузера, сохраняя их на C2 сервере.
Ссылка скрыта от гостей
". В данной статье Solar4Rays описывают свое расследование о том, каким именно образом злоумышленники используют Steam и Telegram для атак. В данной статье концептуально описываются два механизма, без понимания которых трудно разобраться как именно работает данная атака, поэтому в данной статье мы попробуем разобраться с такими понятиями как C2 и DDRC2 (C&C) или просто Comand and Control
Чтобы получить реальную выгоду, злоумышленник должен поддерживать постоянное функционирование вируса в целевой среде, обмениваться данными с зараженными или скомпрометированными устройствами внутри сети и потенциально извлекать конфиденциальные данные. Для выполнения всех этих задач требуется надежная инфраструктура управления и контроля, или C2.
Ссылка скрыта от гостей
которыми противник может установить `C&C` с различными уровнями скрытности в зависимости от структуры сети и защиты жертвы.Распространенной стратегией является смешивание с другими типами легитимного трафика, например, `HTTP/HTTPS` или `DNS`. Наглядно построение канала будет выглядеть таким образом
Но в нашем случае нам интересует техника под номером
Ссылка скрыта от гостей
с которой мы и попробуем разобратьсяT1102.001 Dead Drop Resolver сразу на примере
Вредоносный код не содержит адрес C&C-сервера — вместо этого программа обращается к посту, опубликованному в публичном сервисе, и считывает из него строку символов, которые на первый взгляд кажутся бессмысленными. На самом деле это зашифрованная информация, которая служит для активации следующего этапа атаки.
Как это работает мы будем разбираться на примере софта LummaC2 потому что именно на этот софт можно найти максимально много информации в интернете, например на просторах интернета хранится статья от предположительных разработчиков данного софта, прочитать ее можно
Ссылка скрыта от гостей
. На одном из Telegram-каналов встречается также серия статей с подробным описанием функциональности. В основные функции стилера входит возможность кражи данных с браузеров на базе Chromium и Firefox, криптовалютных кошельков и 2FA расширений. Для получения адреса C2 данный семпл использует только платформу Steam и пользователей на ней
Данная утилита отличается шифрованием адреса сервера, поэтому непонятный набор символов в имени профиля не является адресом сервера. НО мы можем его расширвать
Таким образом мы нашли истинный адрес C2C сервера
Шаги подобной атаки:
1. Создание C2 сервера:
- Злоумышленник устанавливает и настраивает LummaC2 на своем сервере.
- Создается C2 сервер, который будет служить центральным узлом для управления атакой.
2. Создание C2 клиента:
- Злоумышленник создает C2 клиент, который будет установлен на целевой системе.
- C2 клиент содержит информацию о C2 сервере и может быть закодирован или замаскирован.
3. Размещение ссылки на C2 сервер:
- Злоумышленник создает профиль в социальной сети, например, в Steam.
- В имени профиля или в другом видимом месте размещается ссылка на C2 сервер. Эта ссылка может быть замаскирована или закодирована.
4. Инфекция жертвы:
- Жертва, посещая профиль злоумышленника, видит ссылку и, возможно, кликает на нее.
- Клик на ссылку может привести к загрузке вредоносного ПО на систему жертвы.
5. Загрузка и установка вредоносного ПО:
- Вредоносное ПО, содержащее C2 клиент, загружается и устанавливается на системе жертвы.
- C2 клиент устанавливает соединение с C2 сервером и начинает выполнять команды.
6. Кража cookie браузера:
- Злоумышленник отправляет команду через C2 сервер к C2 клиенту на системе жертвы.
- Команда может включать инструкции для извлечения cookie браузера.
- C2 клиент выполняет команду и извлекает cookie браузера, сохраняя их на C2 сервере.