Специалисты по кибербезопасности, используя специализированные платформы для анализа интернет-активности, обнаруживают сотни незащищенных панелей управления (command and control, C2), которые злоумышленники используют для контроля над зараженными системами. Эти веб-интерфейсы, оставленные без базовой защиты, становятся уязвимым местом в инфраструктуре атакующих, позволяя защитникам выявлять и нейтрализовать угрозы на ранних стадиях.
Описание
Панели управления C2 выполняют роль центрального командного пункта для операторов вредоносных программ. Через простой веб-интерфейс злоумышленники могут отслеживать инфицированные устройства, просматривать украденные данные, такие как учетные записи или ключи криптокошельков, а также загружать новые вредоносные модули. Обнаружение таких панелей до того, как кампания наберет обороты, дает командам безопасности критически важное преимущество, позволяя заблокировать активность до нанесения значительного ущерба.
На практике охота строится на поиске уникальных цифровых отпечатков, которые оставляет каждая панель управления. Например, фреймворк Supershell, написанный на Go, можно легко идентифицировать по характерному пути в URL - "/supershell/login/" - или по названию «Supershell» в заголовке HTML-страницы. Аналогично, панель управления трояном HookBot, предназначенного для кража данных из мобильных банковских приложений, часто выдает себя по заголовку «HOOKBOT PANEL» или по уникальному хэшу MD5 фавикона.
Открытый фреймворк Chaos RAT (Remote Administration Tool), который используется как легитимный инструмент администрирования, но был адаптирован злоумышленниками, оставляет еще более заметные следы. Помимо стандартных признаков, в коде его панели управления часто обнаруживается прямая ссылка на репозиторий GitHub разработчика. Поиск по этому URL позволяет выявлять клонированные и развернутые экземпляры панели по всему миру.
Панели управления, связанные с криптоджекингом, также не остаются незамеченными. UnamWebPanel, используемая для мониторинга майнинговых операций, по умолчанию имеет заголовок страницы «Unam Web Panel - Login», который редко меняется настройщиками. Это делает ее легкой мишенью для автоматического поиска.
Интерес для охотников представляют и панели легитимных инструментов, таких как Metasploit или современный фреймворк Mythic. Хотя эти платформы созданы для тестирования на проникновение, их неправильно настроенные и публично доступные экземпляры могут быть использованы в реальных атаках. Их можно обнаружить по комбинации названия в заголовке страницы и специфических путей перенаправления, например, "/new/login" для Mythic.
Обнаружив открытую панель управления, специалисты настоятельно не рекомендуют пытаться входить в нее или как-либо взаимодействовать с ней. Это может быть незаконно и опасно. Вместо этого следует зафиксировать пассивные свидетельства: URL-адрес, временную метку и собранные индикаторы компрометации. Эти данные затем необходимо передать хостинг-провайдеру, на чьих серверах развернута панель, или в национальную CERT-команду для проведения мер по устранению угрозы.
Таким образом, проактивный поиск открытых панелей управления C2 по их цифровым отпечаткам становится эффективной стратегией в арсенале защитников. Использование мощных платформ анализа данных позволяет значительно сократить время, в течение которого злоумышленники могут безнаказанно управлять своей инфраструктурой, и предотвратить развитие атакующих кампаний на раннем этапе.
Индикаторы компрометации
IPv4
- 103.234.16.100
- 134.122.207.42
- 38.55.199.160
- 4.210.171.193
- 62.60.245.136
- 74.48.140.110
