Системы C&C являются полезными инструментами взаимодействия для тестеров проникновения и "красных команд". Они обеспечивают общее место для всех машин-жертв, с которых можно связаться, управлять ими и позволяют нескольким пользователям взаимодействовать с одними и теми же жертвами. При проведении авторизованного тестирования это очень важно, поскольку журналы хранятся в одном месте, что облегчает отчетность. Однако преступники используют все больше и больше таких инструментов, включая инструменты с открытым исходным кодом и коммерческие инструменты. Простота использования и стабильность позволяют им работать долгое время без проблем, что является одной из причин, по которой даже преступники переходят на эти платформы C&C вместо того, чтобы создавать свои собственные.
DeimosC2
DeimosC2 - это фреймворк C&C с открытым исходным кодом, который был выпущен в июне 2020 года. Это полнофункциональный фреймворк, позволяющий нескольким злоумышленникам получать доступ, создавать полезную нагрузку и взаимодействовать с компьютерами жертв. Будучи C&C-фреймворком, созданным после эксплуатации, DeimosC2 генерирует полезную нагрузку, которую необходимо вручную выполнить на компьютерных серверах, взломанных другими способами, такими как социальная инженерия, эксплуатация или атаки методом перебора. После его развертывания субъекты угрозы получат доступ к системам, как и учетная запись пользователя, под которой была выполнена полезная нагрузка, либо как администратор, либо как обычный пользователь. Обратите внимание, что DeimosC2 не выполняет активных действий или повышения привилегий любого рода.
Поскольку основное внимание уделяется уже существующим коммерческим инструментам, таким как Cobalt Strike, преступники ищут другие альтернативы, которые обеспечивают многие из тех же функций. Для защитников это означает, что по мере того, как преступники обращаются к программному обеспечению C&C с открытым исходным кодом (что дает им множество различных доступных вариантов, а в некоторых случаях - использование нескольких платформ на одном узле), ландшафт угроз развивается, включая в себя большее количество инструментов, которые усложняют защиту от атак как для отдельных лиц, так и для организаций.
Некоторые из популярных альтернативных фреймворков, к которым обратились злоумышленники, включают Brute Ratel и Sliver. В этой публикации мы сосредоточимся на предоставлении информации о другом подобном фреймворке, с которым могут столкнуться защитники, - DeimosC2, еще одной альтернативе с открытым исходным кодом. Мы объясним, как работает DeimosC2 и как можно выявить соответствующий трафик и двоичные файлы, чтобы помочь защитить свои сети.
Как и некоторые другие C&C-фреймворки с открытым исходным кодом, такие как Ares C2, PoshC2 и TrevorC2, DeimosC2 предоставляет классические функции C&C-фреймворка, но также обеспечивает пользовательский интерфейс, который по ощущениям и поведению очень похож на коммерческие инструменты, такие как Cobalt Strike или Metasploit Pro. Поэтому члены "красных команд" стали чаще обсуждать DeimosC2.
Веб-сайт 2matrix призван помочь специалистам "красной команды" найти подходящий фреймворк для их работы и включает матрицу, сравнивающую открытые и коммерческие продукты. В то время как некоторые из них являются популярными и узнаваемыми фреймворками, другие - новые и готовящиеся к выпуску фреймворки с конкретными целями. Хотя эти сайты могут помочь "красным командам" и командам тестирования на проникновение найти подходящий продукт для своих нужд, они также могут помочь преступникам найти следующий фреймворк для использования: предпочтительно тот, который получает все большую поддержку и не очень хорошо распознается индустрией безопасности.
На сегодняшний день в криминальном подполье не так много разговоров вокруг DeimosC2 как альтернативы, но злоумышленники могут использовать DeimosC2 в ближайшем будущем как инструмент выбора и как часть перехода от Cobalt Strike. Другие инструменты, которые, по нашим наблюдениям, обсуждаются и используются, - это PoshC2, PHPSploit и Merlin. Как и "красные команды", киберпреступники предпочитают использовать сочетание фреймворков C&C на основе командной строки и графического интерфейса, в зависимости от их предпочтений в отношении простоты создания, обслуживания и эксплуатации.
В июле 2022 года компания Censys опубликовала в блоге запись о фреймворках C&C с открытым исходным кодом, используемых группами ransomware. В частности, PoshC2 и DeimosC2 использовались совместно с Metasploit и Acunetix, которые применяются для сканирования уязвимостей и эксплуатации систем. Затем либо PoshC2, либо DeimosC2 использовались для C&C-коммуникаций после эксплуатации.
Хотя DeimosC2 - не самый популярный выбор среди злоумышленников, которые в настоящее время ищут другие C&C-платформы для использования, это также является одной из причин, по которой важно изучить его заранее. Злоумышленники будут продолжать оценивать инструменты, которые пользуются меньшей популярностью, надеясь, что эти системы дольше останутся незамеченными. В связи с этим мы решили рассмотреть DeimosC2, чтобы лучше понять, что может заставить преступника захотеть использовать эту платформу в качестве своего C&C-фреймворка.
Indicators of Compromise
IPv4
- 104.131.12.204
- 106.13.236.30
- 108.61.186.55
- 117.50.31.161
- 120.92.9.225
- 124.156.148.70
- 13.211.163.117
- 145.239.41.145
- 152.32.212.101
- 154.221.28.248
- 157.230.93.100
- 162.219.33.194
- 162.219.33.195
- 162.219.33.196
- 172.104.163.114
- 172.105.107.243
- 182.92.189.18
- 185.173.36.219
- 185.232.30.2
- 185.232.31.2
- 203.41.204.180
- 206.189.196.189
- 218.253.251.120
- 3.133.59.113
- 3.17.189.71
- 35.193.194.65
- 35.238.243.202
- 39.101.198.2
- 45.12.32.61
- 45.32.29.78
- 45.76.148.163
- 47.241.40.139
- 49.233.238.185
- 5.101.4.196
- 5.101.5.196
- 50.17.89.130
- 51.161.75.139
- 51.222.169.4
- 54.205.246.190
- 69.197.131.198
- 80.211.130.78
- 84.246.85.157
- 95.179.228.18
IPv4 Port Combinations
- 185.173.36.219:8080
- 185.244.182.198:4444
- 192.168.206.189:4444
- 51.222.169.4:8080
URLs
- https://172.25.162.239:4443/login
- https://45.12.32.67:4433/login
- https://45.9.20.200:4443/login
- https://51.222.169.4:5443/login
- https://54.212.160.130:443/login
- https://54.212.160.130:4443/login
- https://forti-gate.com:443/login
SHA256
- 036947a130d99d024912ad8d6632ba6a32d5eb3649e2d605a0a6de5c6f35a63a
- 0418952a347d2d4b40055f197622fb0fd87ac782477cfd354ee030cbe8c56844
- 046bc639e73a8f33fc580d20392b28fe261d08453b23d20f45d5ced7ae6b37d9
- 05e9fe8e9e693cb073ba82096c291145c953ca3a3f8b3974f9c66d15c1a3a11d
- 19402300ab8748b1ad565bed3e9b6713d2cebd6311729be41b2c7b1964929751
- 1c60f6b5f2bc443895b5d295fcca8e7327e65d03d5d5046f33c04619da3f5791
- 1cee5ecef72cb5db372b80a11019b1373807e6a5e6245f567048fdc5de703eeb
- 1ff0484c33bfad219d791fa68d609b98d66a178e6c85c18c800c229793da9332
- 21827cb6d8409ddea5097384d86f3004f5ec4ebe387a9340d8f3443598bdd2af
- 23ec389d12c912ee895ec039891769d4be39a575caeca90615be7d4143b653c4
- 29305f74260d56f94a80d514505dbef949b0e6fae7989a9cd84e956ec4f6cffe
- 2a4b225f544e1a0497f69c124e3c7f4959fe09b5f85f8fe5982613119e7a4149
- 325f216d2297ca37dcbd050e3a9c34229e47f5dce30f7f6442d4b20ff7940f5b
- 439b072b6da250440d70d0e959959973af6077c46bf6ffedd0b38343291eb40e
- 4f069ec1dc6e88a2b4e1c50a8dda6a7935f91424724499b41ff1c3a9f87b143c
- 652c2b4bda587d348dea0b445e58f2cb296dc37cdf96e64593ec76d3f6303a82
- 6f3394a5980ddbc28c7e889c636cddabd48a710588a5c10427d10a19d07b1c0a
- 73a190b1b44b5fb8f9e92121d006978f30a20ac109e6b0f760e7930a48a1742a
- 7bec7b246c7ba157f16dde3cee2225c1066bac706aa3113031df351a75c22239
- 82aa04f8576ea573a4772db09ee245cab8eac7ff1e7200f0cc960d8b6f516e92
- 8c6ab7a051eedf9f119778bdc71cd96a40f52101657881e84262237083ba4a51
- 9513d42ee449294c27dc1f6e60d667c47d39677cfa8ed8e719f0b5e78811bb8f
- 980b4076a9571ef2c1ef0328ce63074f22adeb29ef1001f328783ca5783979cc
- 986daeb291996c58eaa6b40da906579ed7d0da397493f921e56e3de00af94315
- 9abf641af18d2015fab8d2a862a6bffddd5e8a9d9318010db2e81d536888cb43
- a325c7729d39e5530b2c0804cd28b4dfb1d7560736ae5cbc7631fa5949cf7940
- b1e080a098a6fb4e1ae249fe6357e1aec3fb0d8f412ad8f0c674b6dbd36a9227
- b6bc7b208a2b7d1f1ce15352a442e8ee8c886416c4f2dbe22c0338a0f8b8d0a7
- d2bf58d4ad52195a29658f6fab9d85b2f5d8ce4392acf89cb243e0b91511c7c3
- da76dc5c608f5f75a8bbb86e13eee6bb575a2305ca53036e8cebe0e3755a3982
- dbc5b2946b58deb1c40d787e3c5386b9020086b5d01dbbfbaccc44b322aca68c
- f1b925e6e11ef4200b7a8970ab5d54b89df25c874e92f08a93724498451eecaf
- fc98fd6e4cdc7170b77b5d68703d00015e92761bdb978624ad6293133c7604e1