Злоумышленники используют протоколы публикации/подписки, такие как MQTT, XMPP и AMQP, для создания скрытых каналов связи со взломанными системами. Встраивая вредоносные команды или данные в легитимный трафик протокола, они используют централизованного брокера для маршрутизации сообщений к своим целям, избегая при этом обнаружения.
Протокол прикладного уровня: Протоколы публикации/подписки
Эти протоколы позволяют злоумышленникам смешивать свои действия с обычным трафиком, что затрудняет попытки распознать вредоносное поведение. Асинхронный и масштабируемый характер этих протоколов помогает злоумышленникам поддерживать постоянные операции C2 в нескольких системах, часто в обход традиционных средств сетевого мониторинга и контроля безопасности.
Например, в декабре 2024 года было сообщено о IOCONTROL - сложной вредоносной программе, нацеленной на критическую инфраструктуру, включая устройства IoT и OT, такие как IP-камеры, маршрутизаторы. Она использует протокол MQTT через порт 8883 для зашифрованных C2-коммуникаций, встраивая уникальные идентификаторы устройств в учетные данные MQTT для точного контроля. Кроме того, он использует DNS через HTTPS для разрешения доменов C2, что позволяет обойти средства мониторинга сетевого трафика.
С другой стороны, WailingCrab - это многокомпонентная вредоносная программа, распространяемая через фишинговые письма с вредоносными вложениями. С середины 2023 года его бэкдор-компонент взаимодействует с C2-сервером по протоколу MQTT. Используя легитимного стороннего брокера broker.emqx[.]io, WailingCrab скрывает истинный адрес своего C2-сервера, что повышает его скрытность. Такой подход позволяет C2-коммуникациям вредоносной программы смешиваться с легитимным IoT-трафиком, затрудняя обнаружение. Эти примеры иллюстрируют, как злоумышленники используют протоколы публикации/подписки для создания скрытых и устойчивых каналов C2, которые часто легко интегрируются с легитимным сетевым трафиком, чтобы избежать обнаружения.