Command and Control (C2) son fundamentales para que los atacantes mantengan el control sobre los sistemas comprometidos, dirigiéndolos para ejecutar actividades maliciosas o filtrar datos. Estas comunicaciones representan una fase crítica en el ciclo de vida del ataque, permitiendo un acceso persistente y sigiloso al entorno de la víctima. Esta guía destaca la importancia de identificar e interrumpir las comunicaciones C2 para mitigar las amenazas y salvaguardar los activos de la organización.
En cualquier ataque basado en red, el atacante se apoya en un canal de mando y control (C2) para llevar a cabo sus acciones. Al desplegar software malicioso en una máquina anfitriona, establecen una conexión con un servidor externo. Sorprendentemente, son las instrucciones recibidas del servidor externo las que dictan las acciones realizadas por la máquina host infectada, permitiendo al atacante progresar en su ataque.
Los atacantes suelen utilizar herramientas de mando y control, como Cobalt Strike y Metasploit. Estas herramientas admiten el cifrado del canal y emplean técnicas como domain fronting y session jitter para eludir la detección.
Vectra AI adopta un enfoque diferente para detectar los canales de mando y control. Independientemente de las técnicas de cifrado o evasión, el enfoque de seguridad de Vectra garantiza la detección. En lugar de basarse en un enfoque matemático, el equipo de investigación de seguridad de Vectra se centra en los patrones de comportamiento.
Al estudiar el comportamiento de un canal de mando y control, el equipo de Vectra identificó que los indicadores más claros residen en la forma del tráfico de red a lo largo del tiempo. Al analizar estos datos de series temporales, los científicos de datos de Vectra emplearon modelos de aprendizaje profundo, concretamente LSTM (memoria a largo plazo), que sobresalen en la comprensión de eventos a diferentes escalas temporales. Esto permite a Vectra identificar con eficacia la naturaleza de una conversación de mando y control, independientemente de las herramientas específicas utilizadas.
Veamos a continuación un ejemplo representativo de tráfico benigno procedente de un sistema externo.
En el ejemplo anterior, vemos una máquina anfitriona que envía señales regulares a un servidor externo. Estas señales, conocidas como balizas, son utilizadas habitualmente por diversos servicios para mantener los sistemas conectados y comunicarse eficazmente.
Sin embargo, las balizas también pueden explotarse con fines maliciosos. Es importante entender las sutiles diferencias entre un uso legítimo de las balizas, como en los teletipos de bolsa o las aplicaciones de chat, y cuando se utilizan para canales maliciosos de mando y control.
Exploremos un caso concreto de túnel cifrado malicioso para comprender mejor el concepto:
¿Observa los distintos patrones en el gráfico anterior? Estos picos indican el envío de comandos del atacante y la respuesta del sistema infectado. El pico inicial de "bytes recibidos" se produce sin ningún aviso e inmediatamente después se produce la reacción de la máquina infectada.
Analizando estos patrones, los científicos de datos de Vectra han descubierto una forma eficaz de reconocer este comportamiento. Los datos de series temporales que representan el comportamiento del canal de mando y control comparten similitudes con los datos utilizados en el reconocimiento del habla y el procesamiento del lenguaje natural. Esta similitud ha llevado al equipo a adoptar un modelo de aprendizaje profundo para la identificación.
Vectra utiliza un potente tipo de red neuronal conocida como LSTM (memoria a corto plazo) para detectar comportamientos de ataque. Esta arquitectura especializada es experta en el análisis de eventos en múltiples marcos temporales, lo que permite una comprensión exhaustiva de los datos de las conversaciones de mando y control. La LSTM se entrena con una amplia gama de muestras reales y generadas algorítmicamente, capturando diversos escenarios, herramientas, configuraciones y entornos. Como resultado, el modelo es capaz de identificar los patrones generales indicativos de un canal de control, independientemente de las herramientas específicas empleadas.
El enfoque algorítmico utilizado en este análisis fue posible gracias a la forma en que Vectra formatea los datos de las sesiones de red. Aunque Vectra puede proporcionar metadatos similares a los de Zeek, su analizador personalizado va más allá de las capacidades estándar de Zeek al ofrecer un análisis de las comunicaciones de red en intervalos de sub-segundos. Este nivel de detalle permite una visibilidad clara tanto de las comunicaciones benignas como de las maliciosas, lo que permite a los equipos de ciencia de datos de Vectra utilizar los algoritmos más eficaces para una amplia gama de problemas.
La combinación de metadatos exclusivos y sofisticados algoritmos permite a Vectra identificar eficazmente a los atacantes. Al centrarse en los datos de comunicación en sí, y no sólo en las señales superficiales, este enfoque sigue siendo resistente a los cambios en las herramientas de los atacantes e incluso al tráfico cifrado. Además, la clara señal de comportamiento elimina la necesidad de filtros de supresión que pueden filtrar inadvertidamente información importante o acciones furtivas de los atacantes.
Command and Control son la piedra angular de los ciberataques, por lo que requieren estrategias proactivas de detección e interrupción. Vectra AI ofrece soluciones avanzadas que permiten a los equipos de seguridad detectar, investigar y neutralizar las amenazas C2 en tiempo real. Póngase en contacto con nosotros hoy mismo para mejorar su defensa contra ciberadversarios sofisticados y proteger sus activos críticos.