Qu’est-ce que C2 ?
L’infrastructure de commande et de contrôle, également appelée C2 ou C&C, est
l’ensemble des outils et des techniques que les attaquants utilisent pour maintenir la
communication avec les dispositifs compromis après l’exploitation initiale. Les
mécanismes spécifiques varient grandement d’une attaque à l’autre, mais le C2
consiste généralement en un ou plusieurs canaux de communication secrets entre les
appareils d’une organisation victime et une plateforme contrôlée par l’attaquant. Ces
canaux de communication sont utilisés pour donner des instructions aux appareils
compromis, télécharger des charges utiles malveillantes supplémentaires et renvoyer
les données volées à l’adversaire.
Le C2 se présente sous de nombreuses formes différentes. Au moment de la rédaction du présent document, le cadre ATT&CK de MITRE répertorie 16 techniques de commandement et de contrôle différentes, chacune comportant un certain nombre de sous-techniques qui ont été observées dans des cyberattaques passées. Une stratégie commune consiste à se fondre dans d’autres types de trafic légitime qui peuvent être utilisés par l’organisation cible, tels que HTTP/HTTPS ou DNS. Les attaquants peuvent prendre d’autres mesures pour déguiser leurs « callbacks C&C », comme l’utilisation du chiffrement ou de types inhabituels de codage de données.
Qu’est-ce que Havoc C2 ?
Havoc est multiplateforme et contourne Microsoft Defender sur les appareils Windows
11 à jour en utilisant « sleep obfuscation », l’usurpation de la pile d’adresses de retour
et les appels système indirects.
Comme d’autres kits d’exploitation, Havoc comprend une grande variété de modules permettant aux testeurs (et aux pirates) d’effectuer diverses tâches sur les appareils exploités, notamment l’exécution de commandes, la gestion de processus, le téléchargement de charges utiles supplémentaires, la manipulation de jetons Windows et l’exécution de « shellcodes ». Tout cela se fait par le biais d’une console de gestion basée sur le Web, ce qui permet à l’attaquant de voir tous les dispositifs compromis, les événements et les résultats des tâches.
Reverse Shell vs Blind Shell
La communication entre le logiciel malveillant et le serveur C2 peut se faire de 2
manières :
• Reverse Shell
• Bind Shell
La différence entre ces deux méthodes réside dans la manière dont la communication
est transmise du logiciel malveillant au serveur C2 de l’attaquant. En utilisant la
méthode du « Bind Shell », le logiciel malveillant agit comme un serveur sur le
terminal de la victime en utilisant ce(s) port(s) d’écoute à chaque fois que le logiciel
malveillant est en cours d’exécution.
En utilisant la méthode du « Reverse Shell », le port fixe d’écoute sera ouvert sur le serveur C2 de l’attaquant et le logiciel malveillant agira en tant que client, qui à son tour se connectera au serveur C2 de l’attaquant en utilisant un port source aléatoire qui est ouvert sur le point final de la victime.
La plupart du temps, les « threat actors » préfèrent baser leur charge utile malveillante pour interagir avec leurs serveurs C2 sur la technique du « Reverse Shell ». En effet, cette technique est relativement facile à mettre en œuvre, elle fonctionne derrière la traduction d’adresses de réseau (NAT) et elle a probablement une chance de tromper les logiciels antivirus et les solutions de pare-feu.
demon.exe est un agent malveillant doté de fonctionnalités typiques de RAT (remote access trojan) qui a été généré à l’aide d’Havoc. De plus, il prend en charge la construction d’agents malveillants dans plusieurs formats, notamment l’exécutable PE de Windows, la DLL PE.
Havoc C2 – Injection de processus
Havoc C2 permet d’injecter un « shellcode » (fourni au format brut sous forme de chemin d’accès) dans des processus distants en utilisant l’injection de processus ou le « fork & run ». Selon la technique utilisée, les opérateurs peuvent choisir d’utiliser des API Win32 de plus haut niveau ou des versions NT utilisant des appels système indirects. De plus, cette fonctionnalité nous permet d’utiliser Metasploit. En effet, lorsque vous exploitez une cible avec Metasploit, vous disposez de beaucoup plus d’options pour la phase de « post-exploitation ». Meterpreter est bien plus qu’un shell de ligne de commande. Il possède des fonctionnalités supplémentaires qu’aucun shell simple ne peut reproduire.
Sources
- Yehoshua, N., & Kosayev, U. (2021). Antivirus Bypass Techniques. Birmingham: Packt Publishing Ltd.
- (YouTube, 2023), John Hammond - https://www.youtube.com/watch?v=ErPKP4Ms28s&ab_channel=JohnHammond
- (Practical Network Penetration Tester (PNPT), 2023) https://academy.tcm-sec.com/p/practical-ethical-hacking-the-complete-course