El comando y control es un elemento fundamental de los ataques modernos. Una vez que un atacante consigue acceder a un sistema, necesita una forma de controlarlo. Ese control depende de que el recurso comprometido se conecte con la infraestructura del atacante, recabe instrucciones y lleve a cabo acciones. El comando y control (C2) es lo que mantiene el ataque en marcha, desde el inicio hasta que se produce el impacto.
Por eso es tan importante eludir el mando y el control.
Los marcos C2 modernos no son simplemente canales cifrados que transportan cargas útiles claramente maliciosas. Están diseñados de tal forma que la comunicación en sí misma parece totalmente normal, como el tráfico hacia cualquier sitio web habitual. Un perfil maleable configurado para parecerse a un servicio web común no revela las intenciones del atacante una vez descifrado. El tráfico puede seguir pareciendo rutinario. La carga útil puede seguir pareciendo ambigua. La respuesta puede seguir pareciendo el comportamiento normal de una aplicación.
Por eso el descifrado no sirve para detectar y detener a los atacantes actuales.
El descifrado parte de la base de que, si los defensores pueden leer el tráfico, podrán identificar la amenaza. Esa suposición se desmorona ante los sistemas C2 modernos. Una vez descifrado, a menudo no hay ninguna firma explícita que indique «esto es un control del atacante». No hay ningún comando evidente. No hay ningún marcador claro de la carga útil. No hay ningún momento claro en la sesión en el que el tráfico se identifique a sí mismo como malicioso. El atacante no necesita que el tráfico permanezca oculto. Solo necesita que no parezca amenazante.
Ese es el problema fundamental. El descifrado revela el contenido, pero los sistemas C2 modernos están diseñados de tal forma que dicho contenido no genera una señal de detección fiable.
La reputación del dominio tampoco resuelve el problema.
Los atacantes recurren cada vez más a la reutilización de dominios de buena reputación, aprovechan infraestructuras con un historial consolidado u operan desde cloud pública, donde su tráfico queda oculto entre los enormes volúmenes de actividad legítima de las aplicaciones. Los dominios poco comunes son señales ruidosas, ya que cada día se contacta con docenas de nuevos sitios externos dentro de una empresa. A menudo hay que confiar en el espacio Cloud porque el negocio depende de ello. En consecuencia, la confianza basada en el destino ya no es una forma fiable de identificar los sistemas de mando y control.
Los ataques modernos de evasión C2 cuestionan ambas suposiciones a la vez.
El descifrado no funciona porque no hay una firma fiable de la carga útil.
La reputación no funciona porque no hay una señal de destino fiable.
Lo sofisticadas que se han vuelto las técnicas de evasión de C2
Los marcos han perfeccionado sus técnicas de evasión más allá del cifrado y las medidas de reputación.
Otras herramientas de monitorización de redes pueden centrarse en la regularidad de la señal de una llamada de control y respuesta, por ejemplo, una baliza. Un sistema comprometido se comunicaría con el servidor central a intervalos predecibles, creando un ritmo que permitiría identificarlo. Ese ritmo puede resultar útil porque el control constante genera repetición, y la repetición genera una señal.
Sin embargo, este enfoque presenta dos puntos débiles.
Las balizas en sí mismas activan muchas herramientas inofensivas, como el registro de un EDR o la actualización de un teletipo bursátil. La activación de cada baliza puede generar cientos de alertas al día en una empresa. Recurrir a trucos como la «raridad» solo reduce parcialmente el ruido, debido, una vez más, a la escasez de destinos, lo que se suma a la posible supresión de señales de amenaza cuando los atacantes utilizan direcciones IP públicas.
En segundo lugar, los marcos de ataque modernos ahora ocultan directamente esta señal constante, eludiendo por completo las herramientas que solo buscan balizas.
Las herramientas de ataque alteran la periodicidad de las respuestas. Silencian las respuestas durante ciertos periodos de tiempo. Rompen la coherencia en la que los defensores han confiado históricamente, al tiempo que preservan la capacidad del atacante para mantener el control.
El marco Sliver es un ejemplo de la sofisticación de las técnicas de evasión, ya que su evasión no se limita a la variación de la sincronización. También aplica una variación agresiva de los datos mediante mecanismos como la rotación de URI en varias capas y selecciona aleatoriamente un codificador de entre los que dispone Sliver para modificar la apariencia de los datos transmitidos, lo que altera la consistencia en el recuento de bytes entre las llamadas de retorno. A diferencia de muchos marcos en los que estas evasiones son opcionales, la fluctuación de datos de Sliver está siempre habilitada y es lo suficientemente compleja como para romper las suposiciones más simples basadas en balizas.
Esto es importante porque elimina uno de los últimos indicadores evidentes que los defensores aún podían utilizar una vez que ya se había mermado la visibilidad de la carga útil y la confianza en el destino.
En el pasado, un método de detección más sencillo podía basarse en la búsqueda de llamadas de retorno frecuentes, intervalos fijos o patrones de sesión repetitivos. Los sistemas C2 modernos están diseñados precisamente para romper esas suposiciones. Lo que queda no es una señal de identificación clara, sino un patrón de control mucho más débil y sutil que solo se hace visible con el paso del tiempo.
Y, sin embargo, a pesar de todas estas evasivas, hay algo que no cambia.
Sigue existiendo un canal C2 que permite al atacante controlar un sistema. Esto significa que el sistema comprometido debe seguir conectándose para recibir instrucciones y mantener el control. El activo infectado inicia la comunicación con un servidor controlado por el atacante.
Los atacantes pueden ocultar ciertos aspectos de su actividad, pero no pueden eliminar la necesidad de control ni la señal distintiva que este genera.
La señal que importa
La señal más clara en el C2 moderno no es la carga útil, el dominio ni un único flujo sospechoso.
Se trata de los patrones de comportamiento estadísticos del control tal y como se manifiestan a lo largo del tiempo.
Cuando se utiliza un sistema de comando y control, se produce una sutil inversión del control con respecto al tráfico habitual. Esto sigue siendo así incluso cuando las cargas útiles son ambiguas, los destinos parecen fiables y el momento de la respuesta se manipula en gran medida.
Esa señal no es visible a simple vista. No se manifiesta en un solo paquete ni en una sola transacción. Se manifiesta a través de eventos de devolución de llamada y flujos. Se manifiesta en la relación entre quién inicia la comunicación, cómo evoluciona esa comunicación y cómo el patrón de control persiste incluso cuando el atacante cambia las características de la superficie de ataque.
Por eso, la detección moderna de C2 no es un problema de inspección, sino un problema de modelización.
El reto no consiste en descifrar más tráfico. El reto consiste en identificar el patrón de control subyacente que sobrevive al cifrado, a los perfiles de apariencia inofensiva, a la infraestructura de confianza, cloud pública, a la aleatorización de las llamadas de retorno y al silencio.
Cómo Vectra AI el problema con la IA
Vectra AI diseñada para detectar esa señal más sutil de control.
No nos basamos en el descifrado para revelar las intenciones del atacante. No nos basamos en la reputación del dominio para determinar si un destino es malicioso. No nos basamos únicamente en una noción rígida de la regularidad de las señales. En cambio, Vectra AI en los indicadores de comportamiento de los sistemas de mando y control que persisten a lo largo del tiempo, independientemente de cómo intente el atacante camuflar el canal.
Para ello es necesario aplicar el enfoque de modelización adecuado.
Para detectar esta señal sutil, Vectra AI e implementado, en los entornos de los clientes, un modelo de secuencia compacta que combina una red LSTM con una capa de autoatención. El diseño toma prestado el mecanismo más útil popularizado por los modelos lingüísticos modernos —la atención—, pero mantiene la arquitectura centrada en el comportamiento secuencial de la red y lo suficientemente compacta como para implementarla directamente en los sensores.
El modelo se entrenó en dos fases. En primer lugar, aprendió a partir de grandes volúmenes de datos de telemetría de red sin etiquetar, lo que le permitió comprender la estructura básica de las comunicaciones normales sin depender por completo de ejemplos etiquetados manualmente. Esa fase de preentrenamiento ayudó al modelo a desarrollar una representación del comportamiento del tráfico benigno a lo largo del tiempo. A continuación, se ajustó con muestras C2 maliciosas generadas mediante una infraestructura de laboratorio de ataques automatizada y muestras del mundo real que abarcaban el espacio de configuración y perfiles de las herramientas disponibles y los marcos C2 personalizados, combinadas con muestras de tráfico benigno, para que pudiera distinguir patrones de control sutiles que persisten incluso cuando los atacantes aleatorizan los tiempos, varían el tamaño de la carga útil, rotan los URI o intentan de cualquier otra forma romper las firmas de balizas obvias.
Con más de 6 millones de parámetros, frente a los aproximadamente 110 millones de una pequeña versión de referencia de BERT, el modelo sigue siendo lo suficientemente compacto como para ejecutarse en entornos de los clientes, incluso en aquellos aislados físicamente, sin dejar de captar la estructura de comportamiento a más largo plazo.
Esto es importante porque una detección eficaz del C2 no consiste en encontrar un indicador estático en una carga útil o en señalar un destino sospechoso, sino en reconocer el patrón de comportamiento de control que subyace a esas maniobras de evasión.
Vectra AI las comunicaciones C2 modernas sin recurrir al descifrado, sin basarse en la reputación del destino y sin limitarse únicamente a las señales de baliza clásicas, que los atacantes modernos han debilitado deliberadamente.
La prueba de la eficacia de este enfoque reside, en última instancia, en su validación entre nuestra base de clientes, donde ha puesto de manifiesto innumerables ataques reales y ha alertado sobre operaciones del equipo rojo que otras herramientas no pudieron detectar debido a estas técnicas de evasión, todo ello sin generar un ruido excesivo que pudiera ocultar la señal.
Y eso es solo una parte de la historia.
Ningún ataque termina con un canal C2. El comando y control da paso a lo que viene después: reconocimiento, movimiento lateral, escalada de privilegios, persistencia, acceso a datos y exfiltración, y cloud . Vectra AI este enfoque basado en el comportamiento e impulsado por la inteligencia artificial a todos esos comportamientos, correlacionando señales entre distintas técnicas, a través de la red, las identidades y la cloud detectar y detener ataques reales.
Para obtener más información sobre el Silver C2 de Vectra, echa un vistazo a este análisis detallado aquí:
Para empezar a detener las amenazas cifradas en tu entorno, solicita una demostración.