Mando y control

Mando y control (C2) en el contexto de la ciberseguridad se refiere a la etapa de un ciberataque en la que los atacantes establecen una infraestructura centralizada para comunicarse y controlar los sistemas o dispositivos comprometidos dentro de una red objetivo.
  • Un estudio de Palo Alto Networks descubrió que más del 90% de los malware detectados utilizaban alguna forma de comunicación C2 para informar al atacante.
  • Según el Informe de Verizon sobre investigaciones de filtraciones de datos, casi el 70% de las filtraciones implicaron algún tipo de actividad C2, lo que pone de relieve su papel en los ciberataques.

Command and Control (C2) son fundamentales para que los atacantes mantengan el control sobre los sistemas comprometidos, dirigiéndolos para ejecutar actividades maliciosas o filtrar datos. Estas comunicaciones representan una fase crítica en el ciclo de vida del ataque, permitiendo un acceso persistente y sigiloso al entorno de la víctima. Esta guía destaca la importancia de identificar e interrumpir las comunicaciones C2 para mitigar las amenazas y salvaguardar los activos de la organización.

Cómo utilizan los atacantes los canales Command and Control

En cualquier ataque basado en red, el atacante se apoya en un canal de mando y control (C2) para llevar a cabo sus acciones. Al desplegar software malicioso en una máquina anfitriona, establecen una conexión con un servidor externo. Sorprendentemente, son las instrucciones recibidas del servidor externo las que dictan las acciones realizadas por la máquina host infectada, permitiendo al atacante progresar en su ataque.

Los atacantes suelen utilizar herramientas de mando y control, como Cobalt Strike y Metasploit. Estas herramientas admiten el cifrado del canal y emplean técnicas como domain fronting y session jitter para eludir la detección.

Detección de Command and Control independientemente del cifrado

Vectra AI adopta un enfoque diferente para detectar los canales de mando y control. Independientemente de las técnicas de cifrado o evasión, el enfoque de seguridad de Vectra garantiza la detección. En lugar de basarse en un enfoque matemático, el equipo de investigación de seguridad de Vectra se centra en los patrones de comportamiento.

Al estudiar el comportamiento de un canal de mando y control, el equipo de Vectra identificó que los indicadores más claros residen en la forma del tráfico de red a lo largo del tiempo. Al analizar estos datos de series temporales, los científicos de datos de Vectra emplearon modelos de aprendizaje profundo, concretamente LSTM (memoria a largo plazo), que sobresalen en la comprensión de eventos a diferentes escalas temporales. Esto permite a Vectra identificar con eficacia la naturaleza de una conversación de mando y control, independientemente de las herramientas específicas utilizadas.

¿Cómo es el tráfico normal?

Veamos a continuación un ejemplo representativo de tráfico benigno procedente de un sistema externo.

Ejemplo de tráfico de transferencia de datos de baliza benigna.

En el ejemplo anterior, vemos una máquina anfitriona que envía señales regulares a un servidor externo. Estas señales, conocidas como balizas, son utilizadas habitualmente por diversos servicios para mantener los sistemas conectados y comunicarse eficazmente.

Sin embargo, las balizas también pueden explotarse con fines maliciosos. Es importante entender las sutiles diferencias entre un uso legítimo de las balizas, como en los teletipos de bolsa o las aplicaciones de chat, y cuando se utilizan para canales maliciosos de mando y control.

¿Qué aspecto tiene el tráfico sospechoso?

Exploremos un caso concreto de túnel cifrado malicioso para comprender mejor el concepto:

Ejemplo de tráfico malicioso de transferencia de datos de mando y control.

¿Observa los distintos patrones en el gráfico anterior? Estos picos indican el envío de comandos del atacante y la respuesta del sistema infectado. El pico inicial de "bytes recibidos" se produce sin ningún aviso e inmediatamente después se produce la reacción de la máquina infectada.

Analizando estos patrones, los científicos de datos de Vectra han descubierto una forma eficaz de reconocer este comportamiento. Los datos de series temporales que representan el comportamiento del canal de mando y control comparten similitudes con los datos utilizados en el reconocimiento del habla y el procesamiento del lenguaje natural. Esta similitud ha llevado al equipo a adoptar un modelo de aprendizaje profundo para la identificación.

Vectra utiliza un potente tipo de red neuronal conocida como LSTM (memoria a corto plazo) para detectar comportamientos de ataque. Esta arquitectura especializada es experta en el análisis de eventos en múltiples marcos temporales, lo que permite una comprensión exhaustiva de los datos de las conversaciones de mando y control. La LSTM se entrena con una amplia gama de muestras reales y generadas algorítmicamente, capturando diversos escenarios, herramientas, configuraciones y entornos. Como resultado, el modelo es capaz de identificar los patrones generales indicativos de un canal de control, independientemente de las herramientas específicas empleadas.

Vectra utiliza redes neuronales recurrentes para diferenciar las comunicaciones de mando y control maliciosas de las balizas benignas.

El enfoque algorítmico utilizado en este análisis fue posible gracias a la forma en que Vectra formatea los datos de las sesiones de red. Aunque Vectra puede proporcionar metadatos similares a los de Zeek, su analizador personalizado va más allá de las capacidades estándar de Zeek al ofrecer un análisis de las comunicaciones de red en intervalos de sub-segundos. Este nivel de detalle permite una visibilidad clara tanto de las comunicaciones benignas como de las maliciosas, lo que permite a los equipos de ciencia de datos de Vectra utilizar los algoritmos más eficaces para una amplia gama de problemas.

La combinación de metadatos exclusivos y sofisticados algoritmos permite a Vectra identificar eficazmente a los atacantes. Al centrarse en los datos de comunicación en sí, y no sólo en las señales superficiales, este enfoque sigue siendo resistente a los cambios en las herramientas de los atacantes e incluso al tráfico cifrado. Además, la clara señal de comportamiento elimina la necesidad de filtros de supresión que pueden filtrar inadvertidamente información importante o acciones furtivas de los atacantes.

Detección Vectra de un canal de mando y control cifrado (túnel oculto)
Detección vectra de un canal de mando y control cifrado.

Command and Control son la piedra angular de los ciberataques, por lo que requieren estrategias proactivas de detección e interrupción. Vectra AI ofrece soluciones avanzadas que permiten a los equipos de seguridad detectar, investigar y neutralizar las amenazas C2 en tiempo real. Póngase en contacto con nosotros hoy mismo para mejorar su defensa contra ciberadversarios sofisticados y proteger sus activos críticos.

Preguntas frecuentes

¿Qué son las comunicaciones Command and Control (C2)?

¿Por qué es difícil detectar las comunicaciones C2?

¿Cómo pueden las organizaciones detectar e interrumpir las comunicaciones C2?

¿Cómo ocultan los atacantes las comunicaciones C2?

¿Cuáles son las consecuencias de las comunicaciones C2 no controladas?

¿Cómo funcionan las comunicaciones C2?

¿Cuáles son los indicadores comunes de la actividad C2?

¿Qué papel desempeña la inteligencia sobre amenazas en la identificación de las comunicaciones C2?

¿Puede el Sandboxing ayudar a identificar las comunicaciones C2?

¿Qué importancia tiene la respuesta a incidentes en el contexto de las comunicaciones C2?