敵の戦術、テクニック、および常識（ATT @ CK）を学びます。 エンタープライズ戦術。 パート11

コマンドとコントロール

すべての部分へのリンク：
パート1.初期アクセスの取得（初期アクセス）
パート2.実行
パート3.固定（永続性）
パート4.特権エスカレーション
パート5.防衛回避
パート6.資格情報アクセスの取得（資格情報アクセス）
パート7.発見
パート8.横方向の動き
パート9.データ収集（コレクション）
パート10.漏出
パート11.コマンドとコントロール

「コマンドとコントロール」セクション（ 略語-C2、C＆C ）は、 エンタープライズ向けATT＆CK Matrixで導入された攻撃チェーンの最終段階です。

コマンドと制御には、攻撃者が攻撃されたネットワークに接続され、その制御下にあるシステムと通信する技術が含まれます。 システムの構成とターゲットネットワークのトポロジに応じて、隠れチャネルC2を編成する方法は多数あります。 最も一般的な手法はcatで説明されています。 C2を防止および検出するための対策の編成に関する一般的な推奨事項は、別のブロックで強調表示され、セクションの最後に配置されます。


著者は、記事に記載されている情報を適用することで生じる可能性のある結果について責任を負わず、また、いくつかの製剤や用語で行われた可能性のある不正確さについて謝罪します。 公開されている情報は、 MITRE ATT＆CKの内容を無料で改ざんしたものです。

共通ポート

システム： Windows、Linux、macOS
説明：ファイアウォールをバイパスし、悪意のあるトラフィックを通常のネットワークアクティビティと混合するために、攻撃者は通常のアプリケーションで一般的に使用される標準ポートを介して攻撃対象のシステムと通信できます。
TCP: 80 (HTTP)
TCP: 443 (HTTPS)
TCP: 25 (SMTP)
TCP/UDP: 53 (DNS)

たとえば、プロキシサーバーと他のノードの間など、敵の飛び地内でネットワーク接続を整理するためのポートの例は次のとおりです。
TCP/UDP: 135 (RPC)
TCP/UDP: 22
TCP/UDP: 3389

リムーバブルメディアを介した通信

システム： Windows、Linux、macOS
説明：敵は物理的に隔離されたノード間でC2インフラストラクチャを編成し、リムーバブルストレージメディアを使用してシステムからシステムにコマンドを転送できます。 両方のシステムを侵害する必要があります。 インターネット接続を備えたシステムは、最初のシステムによって侵害される可能性が最も高く、2番目のシステムは、リムーバブルメディアを介してマルウェアを複製することにより、横方向の移動中に侵害されます（ パート8を参照）。 コマンドとファイルは、隔離されたシステムから、インターネットに接続されているシステムに中継されます。このシステムには、攻撃者が直接アクセスします。

保護に関する推奨事項：リムーバブルデバイスの自動実行を無効にします。 組織のポリシーレベルでリムーバブルメディアの使用を禁止または制限します。 リムーバブルメディアを接続するときに実行されるプロセスの監査を整理します。

プロキシ経由の接続（接続プロキシ）

システム： Windows、Linux、macOS
説明：攻撃者はプロキシサーバーを使用して、システム間でネットワークトラフィックをリダイレクトしたり、ネットワーク通信の媒介として使用したりできます。 多くのツール（HTRAN、ZXProxy、ZXPortMapなど）を使用すると、トラフィックをリダイレクトしたり、ポートを転送したりできます。

プロキシの概念には、ピアツーピア（p2p）、メッシュネットワーク、またはネットワーク間の信頼できる接続における信頼も含まれます。 ネットワークは、組織内または信頼関係のある組織間に存在できます。 攻撃者は、ネットワークの信頼を使用してC2チャネルを制御したり、同時送信ネットワーク接続の数を減らしたり、フォールトトレランスを提供したり、信頼できる接続を使用して疑念を回避したりできます。

カスタムコマンドおよび制御プロトコル

システム： Windows、Linux、macOS
説明：攻撃者は、コマンド/データを既存の標準アプリケーション層プロトコルにカプセル化する代わりに、独自のネットワークプロトコルを使用してC2チャネルを編成できます。 敵のC2プロトコルの実装は、TCP / IPまたは別の標準ネットワークスタックで提示される基礎となるプロトコルの上に、既知のプロトコルまたはユーザープロトコル（rawソケットを含む）を模倣できます。

カスタム暗号化プロトコル

システム： Windows、Linux、macOS
説明： C2チャネルを介して送信されるトラフィックを隠すために、攻撃者は自分の暗号化プロトコルまたは暗号化アルゴリズムを使用できます。 固定キーを使用したプレーンテキストのXOR暗号化などの単純なスキームは、暗号テキストを提供します（非常に脆弱ですが）。

独自の暗号化スキームの複雑さはさまざまです。 マルウェアサンプルの分析とリバースエンジニアリングを使用して、使用したアルゴリズムと暗号化キーを正常に検出できます。 一部の攻撃者は、既知のライブラリを使用する代わりに、既知の暗号化アルゴリズムの独自のバージョンを実装しようとする場合があります。これにより、敵ソフトウェアの操作で意図しないエラーが発生する可能性があります。

保護に関する推奨事項：マルウェアが対称キーを使用して独自の暗号化を使用する場合、ソフトウェアサンプルからアルゴリズムとキーを取得して、ネットワークトラフィックをデコードし、マルウェアシグネチャを識別することができます。

データエンコーディング

システム： Windows、Linux、macOS
説明： C2チャネルを介して送信される情報は、標準のデータエンコーディングシステムを使用してエンコードされます。 データエンコーディングの使用は、既存のプロトコル仕様に準拠するためであり、ASCII、Unicode、Base64、MIME、UTF-8、またはその他のバイナリテキストおよび文字エンコーディングの使用が含まれます。 gzipなどの一部のエンコードシステムでは、さらにデータを圧縮できます。

データ難読化

システム： Windows、Linux、macOS
説明：送信されたコンテンツの検出と解読を困難にし、通信プロセスを目立たなくし、送信されたコマンドを隠すために、チャネルC2のデータを非表示にすることができます（ただし、必ずしも暗号化を使用する必要はありません）。 プロトコルトラフィックに不要なデータを追加する、ステガノグラフィを使用する、正当なトラフィックをC2トラフィックと組み合わせる、HTTP要求メッセージの本文に変更されたBase64などの非標準のデータエンコーディングシステムを使用するなど、多くの難読化方法があります。

接続の終了アドレスの非表示 （ドメインフロント）

システム： Windows、Linux、macOS
説明： Domain Frontingの本質は、CDNネットワーク（Content Delivery Netwoks）のHTTPパケットの実際の宛先アドレスを隠す機能です。

例：ドメインXとドメインYがあり、これらは同じCDNのクライアントです。 ドメインアドレスXがTLSヘッダーに示され、ドメインYアドレスがHTTPヘッダーにあるパケットは、ソースアドレスと宛先アドレス間のネットワーク通信が禁止されている場合でも、ドメインYアドレスに配信される可能性が高いです。

HTTPsパケットには2セットのヘッダーが含まれます。最初のTLSはパケットの開いた部分にあり、2番目のHTTPはパケットの暗号化された部分を指します。 さらに、各ヘッダーには、宛先IPアドレスを指定するための独自のフィールドがあります。 Domain Frontingの本質は、TLSヘッダーの「SNI」フィールドとHTTPヘッダーの「Host」フィールドで異なるドメイン名を意図的に使用することです。 したがって、許可された宛先アドレスは「SNI」フィールドに示され、配信宛先アドレスは「ホスト」フィールドに示されます。 両方のアドレスが同じCDNに属する場合、そのようなパケットを受信すると、ルーティングノードは要求をターゲットアドレスに中継できます。

この手法には、ドメインレスフロンティングと呼ばれる別のバリ​​エーションがあります。 この場合、「SNI」フィールド（TLSヘッダー）は意図的に空白のままになります。これにより、CDNが「SNI」フィールドと「HOST」フィールドの一致をチェックしても（空のSNIフィールドが無視される場合）、パケットは目標を達成できます。

保護に関する推奨事項： HTTPSトラフィックを検査できる場合、ドメインフロンティングに類似した接続をキャプチャして分析できます。 SSLインスペクションが実行されるか、トラフィックが暗号化されない場合、「HOST」フィールドが「SNI」フィールドと一致しているか、指定されたアドレスがホワイトリストまたはブラックリストに存在するかどうかを確認できます。 ドメインフロンティングを実装するには、攻撃者はおそらく、侵害されたシステムに追加のツールを展開する必要があり、そのインストールはローカルホスト保護ツールをインストールすることで防止できます。

フォールバックチャネル

システム： Windows、Linux、macOS
説明：制御チャネルの信頼性を確保し、送信データのしきい値を超えないようにするため、攻撃者はメインチャネルC2が危殆化または利用できない場合にバックアップまたは代替通信チャネルを使用できます。

多段チャンネル

システム： Windows、Linux、macOS
説明：攻撃者は、さまざまな条件または特定の機能で使用されるC2マルチステージチャネルを作成できます。 いくつかの手順を使用すると、C2チャンネルが混乱し難読化されるため、検出が困難になります。

ターゲットホストで実行されているRATは、第1層サーバーC2への接続を開始します。 最初のステップには、ホストに関する基本情報を収集し、更新ツールを実行し、追加のファイルをダウンロードするための自動化機能があります。 次に、2番目のRATツールを起動して、ホストを2番目の層のサーバーC2にリダイレクトできます。 C2の2番目の段階は、ほとんどの場合完全に機能し、敵がリバースシェルと追加のRAT機能を介してターゲットシステムと対話できるようにします。

ほとんどの場合、ステップC2は、インフラストラクチャを横断することなく、互いに別々に配置されます。 ブートローダーには、元の第1ステージチャネルが検出されてブロックされた場合に備えて、冗長な第1ステージフィードバックまたはスペアチャネルが用意されている場合があります。

保護に関する推奨事項：マルチステージチャネルの編成に使用されるC2インフラストラクチャは、事前にわかっている場合はブロックされる場合があります。 C2トラフィックに一意の署名が存在する場合、それらを使用してチャネルを識別およびブロックできます。

複数プロキシ（マルチホッププロキシ）

システム： Windows、Linux、macOS
説明：悪意のあるトラフィックのソースを偽装するために、攻撃者は複数のプロキシサーバーのチェーンを使用できます。 原則として、防御側は最後のプロキシのみを決定できます。 マルチプロキシを使用すると、悪意のあるトラフィックのソースを特定するのが難しくなり、防御側は複数のプロキシサーバーを介して悪意のあるトラフィックを監視する必要があります。

保護に関する推奨事項：ブラックリストとホワイトリストを整理することにより、既知の匿名ネットワーク（Torなど）およびC2インフラストラクチャへのトラフィックをブロックできます。 ただし、このブロック方法は、ドメインフロンティングと同様の手法を使用して回避できることに注意してください。

マルチバンド通信

システム： Windows、Linux、macOS
説明：一部の対戦相手は、異なるプロトコル間でC2データチャネルを共有する場合があります。 着信コマンドは1つのプロトコルで送信でき、発信データは異なる方法で送信できるため、特定のファイアウォールの制限を回避できます。 単一のメッセージのしきい値を超過することに関する警告を回避するために、分離は偶発的な場合もあります。

セキュリティに関する推奨事項：パケットの内容を分析して、使用中のポートで予期されるプロトコルの動作と一致しない接続を見つけます。 複数の通信チャネル間でアラートを一致させることも、C2の検出に役立ちます。

多層暗号化

システム： Windows、Linux、macOS
説明：攻撃者はいくつかのレベルのC2トラフィック暗号化を適用できます。 原則として（ただし、他のオプションは除外されません）、HTTPSまたはSMTPS暗号化のフレームワークでは、独自の暗号化スキームによって追加のトンネリングが使用されます。

セキュリティのヒント：暗号化プロトコルを使用すると、署名ベースのトラフィック分析に基づいた一般的なC2検出が複雑になる場合があります。 マルウェアが標準の暗号化プロトコルを使用している場合、SSL / TLS検査を使用して、一部の暗号化されたチャネルでC2トラフィックを検出できます。 SSL / TLS検証には、 不完全な証明書検証など、潜在的なセキュリティ問題を回避するために実装前に考慮する必要がある特定のリスクが含まれます。 SSL / TLS検証後、第2レベルの暗号化には追加の暗号分析が必要になる場合があります。

ポートノッキング

システム： Linux、macOS
権利：ユーザー
説明：攻撃者はポートノッキング方法を使用して、システムへの接続に使用する開いているポートを隠すことができます。

セキュリティのヒント：ステートフルファイアウォールを使用すると、一部のポートノッキングオプションの実装を防ぐことができます。

リモートアクセスツール

システム： Windows、Linux、macOS
説明：インタラクティブなコマンドおよび制御モードを確立するために、攻撃者はそれらのために設計された正当なソフトウェアを使用できます。 TeamViewer、Go2Assist、LogMain、AmmyAdminなど、リモートアクセス用のワークステーションサポートおよびソフトウェア。通常、テクニカルサポートサービスで使用され、ホワイトリストに登録できます。 VNC、Ammy、Teamviewなどのリモートアクセスツールは、テクニカルサポートエンジニアが最もよく使用し、攻撃者がよく使用します。

システムが代替C2チャネルとして使用されるために侵害された後、リモートアクセスツールをインストールできます。 また、マルウェアのコンポーネントとして使用して、攻撃者によって制御されているサーバーまたはシステムとの逆接続を確立することもできます。

TeamViewerなどの管理ツールは、ロシアの州および犯罪企業が関心を持っている国の政府機関を対象としたいくつかのグループで使用されていました。

保護に関する推奨事項：リモートアクセスツールは、ドメインフロンティングテクニックと組み合わせて使用​​できるため、ホストセキュリティツールを使用して敵がRATツールをインストールしないようにすることをお勧めします。

リモートファイルコピー

システム： Windows、Linux、macOS
説明：ファイルをあるシステムから別のシステムにコピーして、敵のツールまたは他のファイルを展開できます。 ファイルは、攻撃者が制御する外部システムから、C＆Cチャネルを介して、またはFTPなどの代替プロトコルを使用する他のツールを使用してコピーできます。 scp、rsync、sftpなどの組み込みツールを使用して、ファイルをMacおよびLinuxにコピーすることもできます。

相手は、内部の被害者システム間でファイルを横方向にコピーして、ネットワークの移動とリモートコマンドの実行をサポートすることもできます。 これは、SMBを介してネットワークリソースを接続するか、Windows Admin SharesまたはRDPへの認証済み接続を使用して、ファイル共有プロトコルを使用して実行できます。

保護の推奨事項：検出の手段として、SMBプロトコルを介してネットワーク上のファイルの作成と転送を監視することをお勧めします。 システム内でファイルを作成する外部ネットワーク接続を使用する異常なプロセスも疑わしいはずです。 FTPなどのユーティリティの非典型的な使用も疑わしい場合があります。

標準アプリケーション層プロトコル

システム： Windows、Linux、macOS
説明： C2トラフィックの検出および既存のネットワークトラフィックとの混合を回避するために、攻撃者はHTTP、HTTPS、SMTP、DNSなどの標準的なアプリケーション層プロトコルを使用できます。 たとえば、プロキシサーバーとマスターノードおよび他のノードとの間のC2チャネル（エンクレーブ）内の接続では、通常、RPC、SSH、またはRDPプロトコルが使用されます。

標準暗号化プロトコル

システム： Windows、Linux、macOS
説明：相手は、よく知られている暗号化アルゴリズムを使用して、C2トラフィックを隠すことができます。 堅牢なアルゴリズムを使用しているにもかかわらず、秘密キーがマルウェアによって暗号化および生成され、構成ファイルに保存されている場合、リバースエンジニアリングを使用してC2トラフィックを開示できます。

標準の非アプリケーション層プロトコル

システム： Windows、Linux、macOS
説明： OSIモデルの非アプリケーション層プロトコルは、感染したホストとサーバー間の通信、またはネットワーク上の感染したホストの相互作用に使用できます。 よく知られた実装では、ネットワーク層プロトコル— ICMP、トランスポート層— UDP、セッション層— SOCKS、およびSerial over LAN（SOL）などのリダイレクト/トンネルなどのプロトコルが使用されました。

ICMPは、ホスト間の通信を隠すためにサイバー犯罪者によってよく使用されます。 ICMPはインターネットプロトコルスイートの一部であり、すべてのIP互換デバイスで実装する必要があるため、TCPやUDPなどの他のプロトコルほど頻繁に監視されません。

ファンシーポート（通常使用されないポート）

システム： Windows、Linux、macOS
説明：攻撃者は、非標準ポートを介してC2を介して通信し、正しく構成されていないプロキシサーバーとファイアウォールをバイパスできます。

Webサービス

システム： Windows
権利：ユーザー
説明：攻撃者は、実行中の正当な外部Webサービスを使用して、感染したシステムを制御するコマンドを送信することができます。 管理サーバーは、コマンドアンドコントロール（C＆CまたはC2）と呼ばれます。 人気のあるWebサイトやソーシャルネットワークはC2のメカニズムとして機能し、GoogleやTwitterなどのさまざまな公共サービスも使用できます。 これはすべて、一般的なトラフィックフローで悪意のあるアクティビティを隠すのに役立ちます。 Webサービスは通常SSL / TLSを使用するため、攻撃者は追加の保護レイヤーを取得します。

セキュリティに関する推奨事項：ファイアウォールとWebプロキシを使用して、外部ネットワーク通信を制限するポリシーを実装できます。

C2の予防と検出のための対策の編成に関する一般的な推奨事項

•シグネチャベースのトラフィック分析を使用するIDS / DLPシステムを使用して、既知の特定のC2ツールおよびマルウェアを検出およびブロックできるため、攻撃者は使用するツールを経時的に変更するか、データ転送プロトコルを設定して、既知の手段による検出を回避する可能性が高い保護;

•ウイルス対策エンドポイント保護ツールを使用して、既知の特定のC2ツールとマルウェアをブロックします。

•内部ネットワーク上のホストは、許可されたインターフェイスを介してのみアクセスできるようにします。

•対応するネットワークゲートウェイを通過するファイアウォールとプロキシの必要なポートのみを許可することにより、発信トラフィックを制限します。

•既知のC2インフラストラクチャのドメインとIPアドレスをブロックします。 ただし、これは効果的で長期的なソリューションではないことに注意してください。 相手はしばしばC2のインフラストラクチャを変更できます。

•アプリケーションホワイトリストツールを使用して、サードパーティソフトウェアのインストールと実行を困難にします。

•ファイアウォール、アプリケーションファイアウォール、およびプロキシを使用して、よく知られているリモートアクセスツール（TeamViewer、Go2Assist、LogMain、AmmyAdminなど）が使用するサイトおよびサービスへの発信トラフィックを制限します。

•マルウェアが対称キーを使用して独自の暗号化を使用している場合、ソフトウェアサンプルのリバースエンジニアリングを使用して、ネットワークトラフィックをデコードし、マルウェアシグネチャを識別するためのアルゴリズムとキーを取得できます。

•代替通信チャネルの包含または使用に関連するAPI関数の呼び出しを監視します。

•ICMPメッセージまたは異常なデータを含むか、通常はネットワーク上またはネットワーク外に表示されない他のプロトコルのネットワークトラフィックを分析します。

•ネットワークフローを分析して異常なフローを識別します。たとえば、クライアントがサーバーから受信するよりもはるかに多くのデータを送信する場合、または通常ネットワークを使用しないプロセスがネットワーク接続を開く場合。

•ネットワークフローを分析して、使用するポートのプロトコル標準に準拠していないパケットを特定します。