Qu’est-ce le C&C ? Explications sur l’infrastructure de Commande et Contrôle

Détection de Menaces

Une cyberattaque réussie ne se contente pas de s’infiltrer sur le réseau d’une entreprise à son insu. Pour qu’elle serve vraiment à quelque chose, le hacker doit rester présent au sein de l’environnement ciblé, communiquer avec les appareils infectés ou compromis au sein du réseau et potentiellement exfiltrer des données sensibles. La clé pour accomplir toutes ces tâches est une infrastructure solide de « Commande et Contrôle », ou C&C. Qu’est-ce que le C&C ? Dans cet article, nous répondons à cette question et nous verrons comment les adversaires peuvent utiliser ces canaux de communication discrets pour mener des attaques très sophistiquées. Nous verrons également comment détecter et vous protéger contre les attaques Commande et Contrôle.

Qu’est-ce que le C&C ?

Une infrastructure Commande et Contrôle, aussi appelée C2 ou C&C, est l’ensemble des outils et techniques utilisés par les hackers pour maintenir la communication avec des appareils compromis, à la suite d’une première exploitation. Les mécanismes spécifiques varient d’une attaque à l’autre, mais le C&C consiste généralement en un ou plusieurs canaux de communication discrets entre les appareils d’une entreprise victime et la plateforme contrôlée par le hacker. Ces canaux de communication sont utilisés pour envoyer des instructions aux appareils compromis, télécharger des charges utiles malveillantes supplémentaires et renvoyer les données dérobées vers l’adversaire.

Le C&C existe sous différentes formes. Au moment de la rédaction de cet article, la matrice MITRE ATT&CK répertorie 16 techniques différentes de Commande et Contrôle, chacune disposant de ses propres sous-techniques, observées dans les dernières cyberattaques. Une stratégie courante vise à se mêler à d’autres types de trafic légitime, utilisés dans l’entreprise ciblée, comme HTTP/HTTPS ou DNS. Les hackers peuvent déguiser leurs appels C&C d’une autre façon, comme utiliser le chiffrement ou des types inhabituels d’encodage de données.

code C&C

Les plateformes de Commande et Contrôle sont disponibles sous forme de produits prêts à l’emploi ou de solutions entièrement personnalisées. Les plateformes populaires utilisées par les criminels et les experts qui effectuent des tests d’intrusion sont, entre autres, Cobalt Strike, Covenant, Powershell Empire et Armitage.

Outre C2 et C&C, vous entendrez peut-être aussi les termes suivants :

Qu’est-ce qu’un zombie ?

Un zombie est un ordinateur ou un autre appareil connecté qui a été infecté par une forme de malware et peut être contrôlé à distance par un acteur malveillant à l’insu et sans l’autorisation du propriétaire de l’appareil. Tandis que certains virus, chevaux de Troie et autres programmes indésirables effectuent des actions spécifiques après l’infection d’un appareil, de nombreux types de malwares n’existent que dans le but d’ouvrir un canal de communication vers l’infrastructure C&C du hacker. Ces machines « zombies » peuvent alors être piratées pour effectuer un certain nombre de tâches, de l’envoi d’e-mails de spam à la participation à une attaque DDoS (déni de service) de grande ampleur.

Qu’est-ce qu’un botnet ?

Un botnet est un regroupement de machines zombies qui sont engagées dans ce réseau dans un but commun illicite. Elles peuvent prendre part à toutes sortes d’activités, du minage de cryptomonnaies à une attaque DDoS (déni de service) qui rend un site internet indisponible. Les botnets sont généralement réunis autour d’une infrastructure C&C commune. Les hackers ont également l’habitude de vendre l’accès à des botnets à d’autres criminels, ce que l’on appelle une « attack-as-a-service ».

Qu’est-ce que le beaconing ?

On parle de « beaconing » lorsqu’un appareil infecté contacte l’infrastructure C&C du hacker pour voir si des instructions ou des charges utiles supplémentaires sont disponibles, très souvent à intervalles réguliers. Pour échapper à la détection, certains types de malwares contactent l’infrastructure C&C de manière aléatoire ou peuvent rester en sommeil pendant quelque temps avant de contacter la maison-mère.

Que peuvent accomplir les hackers à l’aide d’une infrastructure C&C ?

La plupart des entreprises ont des défenses du périmètre plutôt efficaces, qui compliquent les choses pour un adversaire qui chercherait à déclencher une connexion depuis l’extérieur sur le réseau de l’entreprise, sans être détecté. En revanche, les communications sortantes ne sont pas aussi souvent surveillées ni limitées. Cela signifie qu’un malware qui aurait réussi à s’infiltrer via un autre canal, comme un e-mail de phishing ou un site internet compromis, pourrait établir un canal de communication sortante, ce qui d’ordinaire n’aurait pas été possible. Grâce à ce canal ouvert, un hacker peut mener d’autres actions, comme :

Se déplacer latéralement au sein de l’entreprise victime

Une fois qu’un hacker a réussi à entrer, il cherchera généralement à se déplacer latéralement dans toute l’entreprise, à l’aide de ses canaux C&C pour transmettre des informations sur les autres hôtes qui pourraient être vulnérables ou mal configurés. La première machine compromise n’est peut-être pas si intéressante que ça, mais elle sert de tremplin pour accéder à d’autres parties sensibles du réseau. Ce processus peut être reproduit plusieurs fois jusqu’à ce que le hacker obtienne l’accès à une cible intéressante, comme un serveur de fichiers ou un contrôleur de domaine.

Attaques en plusieurs phases

Les cyberattaques les plus complexes comprennent souvent plusieurs étapes distinctes. Généralement, la première infection est un « dropper » ou un « downloader » qui rappelle l’infrastructure C&C de l’adversaire et télécharge d’autres charges utiles malveillantes. Cette architecture modulaire permet au hacker de mener des campagnes qui sont à la fois largement diffusées et très ciblées. Le dropper peut infecter des milliers d’entreprises, permettant au hacker de faire son choix parmi elles et d’élaborer des malwares de deuxième phase sur mesure pour les cibles au plus fort potentiel lucratif. Ce modèle permet à un secteur tout entier du cybercrime d’exister de façon décentralisée. Un groupe ayant obtenu l’accès initial peut vendre l’accès à une cible prisée comme une banque ou un hôpital à un gang de ransomware, par exemple.

Exfiltrer des données

Les canaux C&C sont souvent bidirectionnels, ce qui signifie qu’un hacker peut télécharger ou « exfiltrer » des données de l’environnement ciblé en plus d’envoyer des instructions aux hôtes compromis. Les données dérobées peuvent aller des documents militaires classés secret défense à des numéros de cartes bancaires ou des informations personnelles, en fonction de l’entreprise victime. De plus en plus, des gangs de ransomware utilisent l’exfiltration de données comme tactique supplémentaire pour extorquer leurs cibles, même si l’entreprise peut récupérer ses données à partir de sauvegardes, les criminels la menaceront de divulguer des informations dérobées et potentiellement gênantes.

Autres utilisations

Comme indiqué précédemment, les botnets sont fréquemment utilisés pour lancer des attaques par déni de service contre des sites Internet et autres services. Les instructions sur les sites à attaquer sont diffusées via le C&C. D’autres types d’instructions peuvent également être envoyés aux machines zombies via le C&C. Par exemple, de vastes botnets de cryptominage ont été identifiés. D’autres utilisations plus exotiques ont aussi été théorisées, comme l’utilisation de commandes C&C pour perturber des élections ou manipuler les marchés de l’énergie.

Modèles de Commande et Contrôle

Bien qu’il existe une variété d’options pour mettre en place un C&C, l’architecture entre le malware et la plateforme de C&C ressemblera généralement à l’un des modèles suivants :

Centralisé

Un modèle C&C centralisé fonctionne un peu comme une relation client-serveur traditionnelle. Un « client », le malware, contacte un serveur C&C et vérifie s’il a des instructions à suivre. En pratique, l’infrastructure côté serveur du hacker est souvent bien plus complexe qu’un seul serveur et peut inclure des redirecteurs, répartiteurs de charge et mesures de défense pour détecter les chercheurs en sécurité et les forces de l’ordre. Les services cloud publics et réseaux de diffusion de contenu (CDN) sont souvent utilisés pour héberger ou masquer les activités C&C. Les hackers ont souvent tendance à compromettre des sites Internet légitimes et à les utiliser pour héberger des serveurs C&C à l’insu des propriétaires.

Les activités C&C sont souvent découvertes rapidement et les domaines et serveurs associés à une campagne peuvent être supprimés quelques heures à peine après leur première utilisation. Pour se prémunir de ça, les malwares modernes sont souvent codés avec une liste de plusieurs serveurs C&C qu’ils peuvent essayer de joindre. Les attaques les plus sophistiquées ajoutent des couches supplémentaires d’obfuscation. On a ainsi détecté un malware qui récupérait une liste de serveurs C&C à partir de coordonnées GPS intégrées à des photos et de commentaires sur Instagram.

Peer-to-Peer (P2P)

Dans un modèle C&C en P2P, les instructions de commande et contrôle sont livrées de manière décentralisées et les membres d’un botnet se relaient les messages les uns les autres. Certains bots peuvent encore fonctionner comme des serveurs, mais il n’existe pas de nœud central dans cette configuration. C’est un modèle bien plus difficile à démanteler qu’un modèle centralisé, mais le hacker peut aussi avoir plus de mal à envoyer les instructions au botnet tout entier. Les réseaux P2P sont parfois utilisés comme mécanismes de repli au cas où le canal C&C principal soit interrompu.

Modèle hors bande et aléatoire

Des techniques inhabituelles ont été observées pour l’émission d’instructions vers les hôtes infectés. Les pirates ont largement utilisé les plateformes de médias sociaux comme plateformes C&C non conventionnelles car elles sont rarement bloquées. Un projet nommé Twittor a pour but de fournir une plateforme C&C entièrement fonctionnelle uniquement à l’aide de messages directs sur Twitter. On sait également que les hackers ont déjà utilisé Gmail, des salles de chat IRC et même Pinterest pour envoyer des messages C&C à des hôtes compromis. On a même émis l’hypothèse que des infrastructures de C&C puissent être totalement aléatoires ; le hacker scannerait alors de grandes zones d’Internet dans l’espoir d’y trouver un hôte infecté.

Détecter et empêcher le trafic C&C

Le trafic C&C est notoirement très difficile à détecter, car les hackers se donnent beaucoup de mal pour passer à travers les mailles du filet. Mais les opportunités sont colossales pour les solutions de défense, car interrompre une manœuvre C&C peut empêcher une infection de malware de dégénérer en fuite de données plus grave. En effet, de nombreuses cyberattaques de grande ampleur ont premièrement été découvertes quand les chercheurs ont remarqué des activités C&C. Voici quelques techniques générales pour détecter et mettre fin à du trafic C&C sur votre propre réseau :

Surveiller et filtrer le trafic sortant

Nombreuses sont les entreprises qui ne font pas attention au trafic quittant leur réseau et qui se concentrent plutôt sur les menaces contenues dans le trafic entrant. Cette absence de prise de conscience simplifie la tâche des hackers. Les règles de pare-feu sur la sortie, quand elles sont bien élaborées, peuvent entraver la capacité d’un adversaire à ouvrir des canaux de communication secrets. Par exemple, limiter les requêtes DNS sortantes aux seuls serveurs que l’entreprise contrôle peut réduire la menace de tunneling DNS. Les proxies peuvent être utilisés pour inspecter le trafic Web sortant, mais veillez à configurer l’inspection SSL/TLS, car les hackers ont adopté le chiffrement comme tout le monde sur Internet. Les services de filtrage de DNS peuvent également être utilisés pour empêcher les appels C&C vers des domaines suspects ou récemment enregistrés.

Surveiller les balises

Les balises sont un signe révélateur d’une activité C&C au sein de votre réseau, mais elles sont souvent difficiles à détecter. La plupart des solutions IDS/IPS identifieront les balises associées à des frameworks prêts à l’emploi comme Metasploit et Cobalt Strike, mais ceux-ci peuvent facilement être modifiés par les hackers pour rendre la détection encore plus difficile. Pour une analyse détaillée du trafic réseau (NTA), on peut utiliser un outil comme RITA. Dans certains cas, les équipes de chasse aux menaces iront jusqu’à inspecter à la main des paquets avec des outils comme Wireshark ou tcpdump.

Recueillir des logs et inspecter

code log et inspecter

Lorsque vous cherchez des signes d’un trafic C&C, recueillir les fichiers journaux d’autant de sources que possible est essentiel. Souvent, il faudra analyser de près ces logs pour distinguer le trafic C&C d’une application légitime. Les analystes en sécurité devront peut-être rechercher des tendances inhabituelles, examiner les charges utiles de requêtes HTTPS ou DNS à l’apparence inoffensive et effectuer d’autres analyses statistiques. Plus l’analyste dispose d’informations, mieux c’est. Les solutions de connexion à distance et de SIEM peuvent les aider dans cette tâche.

Corréler les données à partir de sources multiples

Le but d’entretenir une infrastructure de Commande et Contrôle est d’effectuer des actions spécifiques comme accéder à des fichiers importants ou infecter davantage d’hôtes. Partir à la chasse aux activités C&C à la fois sur le réseau et du point de vue des données augmente la probabilité de détecter des cyberattaques bien camouflées. C’est exactement l’approche de Varonis Edge, qui vous donne la visibilité détaillée nécessaire pour tout détecter, des menaces internes aux groupes APT.

Conclusion

L’infrastructure de Commande et Contrôle est vitale pour les hackers et représente une opportunité pour les solutions de défense. Bloquer le trafic C&C et démanteler l’infrastructure du hacker peut stopper net une cyberattaque. Les entreprises ne devraient pas chercher uniquement à empêcher le trafic C&C, ces opérations devraient faire partie d’un programme de sécurité des informations, basé sur des bonnes pratiques en matière d’informatique, la sensibilisation des employés à la sécurité et des politiques et procédures bien pensées. Ces composantes peuvent s’avérer très efficaces dans la réduction de la menace posée par les infrastructures C&C.

Avatar

Robert Grimmick

Robert est un consultant en informatique et en cybersécurité basé en Californie du Sud. Il aime explorer les nouvelles menaces en matière de sécurité informatique.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.