شکار ارتباطات با سرورهای کنترل و فرمان (Command And Control)

مروری بر کانالهای کنترل و فرمان

مهاجمان معمولان برای تبادل اطلاعات با عاملهای خود در شبکه یا میزبان قربانی کانالی موسوم به کانال کنترل و فرمان ایجاد میکنند؛ این اطلاعات میتواند در قالب پروتکلهای رایج مانند HTTP، DNS و.. و یا پروتکلهای دستکاری شده[۱] مانند رمزگذاری دادههای بسته پروتکل HTTP رد و بدل شود. علاوه بر این، مهاجمان معمولا از پورتهای رایج و استاندارد (بهعنوان نمونه پورتهای ۸۰، ۴۴۳، ۵۳) یا پورتهای غیرمعمول برای استقرار کانال خود استفاده میکنند. بنابراین مهاجمان میتوانند هرترکیبی از پورتها و پروتکلها را استفاده کنند.

  • پورتهای رایج، پروتکلهای رایج
  • پورتهای رایج، پروتکلهای غیرمعمول
  • پورتهای غیرمعمول، پروتکلهای رایج
  • پورتهای غیرمعمول، پروتکلهای غیرمعمول

حال براساس سناریو فوق (شکار کانالهای احتمالی کنترل فرمان) فرآیند شکار تهدیدات بهصورت کاربردی بیان میشود.

  • گام اول: فرضیه نمونه (خلق فرضیه)

احتمال میرود مهاجمان از یک کانال کنترل و فرمان با پروتکلهای رایج و پورتهای رایج (یکی از چهار حالت احتمالی ذکر شده در بخش قبلی) استفاده کنند.

موارد منحصر به فرد برای پروتکلهای مورد نظر خود را جستجو کنید. بهعنوان مثال درصورتی که قصد دارید وجود کانال کنترل و فرمان در قالب پروتکل HTTP را بررسی کنید، باید بهدنبال ناهنجاری در مقادیر فیلدهایی نظیر User-Agent، URL و Domain باشید.

  • گام دوم: دنبالکردن فرضیه و انتخاب دیتاست

دیتاستهای مورداستفاده در یک فعالیت شکار تهدید کاملا بسته به آن چیزی است میخواهید شکار کنید. برای بررسی وجود کانال کنترل و فرمان در پروتکلهای دستکاری شده باید دادههای زیر را بررسی کنید.

  • Netflow
  • لاگهای فایروال (لاگ Allow و Accept)
  • لاگ IDS

اما برای بررسی وجود کانال کنترل و فرمان در پروتکلهای رایج  باید روی متادادههای نشست شبکه (مانند موارد زیر) تمرکز کنید.

  • لاگهای پراکسی، لاگ وب سرور IIS
  • لاگ تبدیل نام DNS
  • لاگ مربوط به پروتکل SMTP، HTTP، SSL و

گام سوم: بهکارگیری تکنیکها و ابزارها برای بررسی فرضیه

  • تکنیک جستجوی نشانه[۲] (جستجو در نشانههای رایج نشست شبکه نظیر آدرس IP و پورت)

جستجو در نشانههای موجود پروتکلهای رایج لایه کاربرد نظیر نشانههای مربوط به HTTP، DNS، SSL و ، URL، UserAgent، Subject و Issuer گواهیهای دیجیتال، آدرس ایمیل

  • تکنیک Stacking

تکنیکی است که معمولا در انواع مختلف شکارها استفاده میشود. درخصوص شکار فعالیتهای کانال کنترل و فرمان، شکارچی باید از نمونههای ناهنجار ترافیک خروجی از شبکه مانند شکل ۱ آمار تهیه کند.

انواع متادادههایی که میتواند در Stacking مفید باشد مواردی نظیر پورتها، URL ها و گواهی X509 است.

شکل ۱ آمارگیری از فیلدهای ترافیک شبکه

  • یادگیری ماشین دستهبندی باینری[۳]

این تکنیک شامل استفاده از یادگیری ماشین برای تفکیک فعالیتهای مخرب کنترل و فرمان از سایر فعالیتها است. یادگیری ماشین با روش Supervised از دادههای برچسب خورده برای یافتن و پیشبینی دادههای غیربرچسبدار[۴] استفاده میکند. با درنظر گرفتن یک مجموعه از نمونههای سالم[۵] و نمونههای غیرسالم[۶] (دادههای مخرب) میتوانید یک دستهبندی باینری ایجاد کنید که تراکنشهای جدید را بهعنوان ورودی میگیرد و تصمیم میگیرد که آیا این تراکنش شبیه به مجموعه نمونه سالم است یا مجموعه نمونه غیرسالم. پس از ایجاد و بلوغ دستهبندی، میتوانید لاگ شبکه را بهعنوان ورودی به آن ارسال کنید و مجموعه ای از رکوردهای موردنظر خود را بهعنوان خروجی دریافت کنید.

در جدول زیر، خلاصهای از فرآیند شکار فوق طبق چرخه شکار بیان شده است.

مرحله

توضیحات

فرضیه (آنچه به دنبال آن هستیم)

موارد منحصر به فرد برای پروتکلهای موردنظر خود را جستجو کنید. بهعنوان مثال درصورتی که میخواهید وجود کانال کنترل و فرمان در قالب پروتکل HTTP را بررسی کنید، باید بهدنبال ناهنجاری در مقادیر فیلدهایی نظیر User-Agent، URL و Domain ها باشید.

بررسی (تعیین دادههای قابل بررسی)

لاگهای پراکسی، لاگ وب سرور IIS

لاگ تبدیل نام DNS

لاگ مربوط به پروتکل SMTP، HTTP، SSL و

کشف الگوها و IOC ها (تکنیکها)

  1. جستجو جهت شناسایی ارتباطات پروتکلهای عادی روی یک پورت عادی به وسلیه جستجو در متاداده پروتکل
  2. جستجوی ثانویه جهت شناسایی تمامی متادادههای نشست شبکه (مانند Netflow، فایروال و …) روی پورتی خاص و مربوط به بازه زمانی گام قبلی (مورد ۱)
  3. حذف دادههای مربوط به نشستهای سالم و عادی با استفاده از خروجی گامهای یک و دو (مواردفوق) . اطلاعات باقی مانده، اطلاعات مربوط به پروتکلهای غیرمعمول روی پورتهای معمول خواهد بود.
  4. با بهکارگیری نتایج گام قبل (مورد ۳) آماری از دادههای حاصله با هدف بررسی فرضیه اولیه تهیه کنید.

به عنوان نمونه آدرس IP مقصد، میزان بایت های ردوبدل شده، دوره و طول ارتباط و

اطلاعرسانی و غنیسازی تحلیلها

اطلاعات بهدست آمده از مراحل قبلی، نظیر آدرس IP مقصد کانال کنترل فرمان (که در بررسیهای انجام شده حاصل شده است) میتواند بهعنوان یک IOC درنظر گرفته شود و به منظور بهبود و گسترش سیستمهای تشخیص خودکار (مانند IDS، SIEM و …) به پایگاه داده نشانههای حمله افزوده شود.

 


[۱] Custom Protocols

[۲] Indicator

[۳] Binary Classification

[۴] Unlabled Data

[۵] Known Good

[۶] Known Bad

 

دسته‌ها: متفرقه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *