Os atacantes estão adicionando novos e sofisticados recursos de comando e controle (C2) em seus malwares, que facilmente evitam as defesas estáticas comuns com base em assinaturas IPS ou listas de bloqueio de IP/domínio/URL usando ferramentas comuns e amplamente disponíveis da estrutura C2, como Cobalt Strike, Brute Ratel, Mythic, Metasploit, Sliver e Merlin. Essas ferramentas fornecem recursos pós-exploração, incluindo comando e controle, escalonamento de privilégios e ações no host, e foram originalmente projetadas para testes de penetração e operações de equipe vermelha.
No entanto, os atacantes sequestraram e incorporaram esses mesmos kits de ferramentas para fins maliciosos, pois muitos produtos são de código aberto, como Mythic e Merlin, enquanto outros produtos comerciais, como Cobalt Strike e Brute Ratel, foram roubados pelos atacantes por meio de cópias hackeadas ou código-fonte vazado. Isso efetivamente transformou essas mesmas ferramentas em estruturas C2 adversárias para pós-exploração maliciosa.
As ferramentas podem facilmente moldar e alterar muitos parâmetros das comunicações C2, permitindo que o malware evite as defesas atuais com ainda mais facilidade e por períodos mais longos, causando maiores danos nas redes das vítimas, incluindo: roubo de mais dados, descoberta de dados mais valiosos, indisponibilidade de aplicativos/serviços comerciais e manutenção do acesso oculto às redes para danos futuros.
As abordagens atuais para detectar o malware mais recente usando estruturas C2 utilizam assinaturas e indicadores estáticos, incluindo detecção de executáveis de implantes, assinaturas IPS para detecção de tráfego C2 e filtros IP/URL que são inadequados para lidar com os perfis dinâmicos e maleáveis das ferramentas da estrutura C2 amplamente disponíveis.
É necessária uma nova abordagem que não esteja tão rigidamente vinculada a ataques conhecidos, mas baseada na detecção de anomalias de um conjunto abrangente de sinais alimentados em modelos treinados de aprendizado de máquina com rastreamento detalhado do risco do dispositivo e do usuário. Essa abordagem complementará as abordagens existentes, mas pode aumentar drasticamente as taxas de detecção, mantendo baixos os falsos positivos e protegendo o futuro contra a evolução dos padrões de tráfego de C2, que são facilmente ativados por essas mesmas ferramentas da estrutura C2.
Este artigo discute as lacunas nas abordagens atuais e o aumento da eficácia do uso de uma abordagem focada em aprendizado de máquina com sinais de rede adicionais e métricas de risco refinadas com base em modelos no nível do usuário e da organização. Também discutimos alguns dos principais desafios em testar a eficácia de qualquer solução de detecção de farol C2.