Befehls- und Kontrollmechanismen spielen bei modernen Angriffen eine zentrale Rolle. Sobald ein Angreifer Zugriff auf ein System erlangt hat, benötigt er eine Möglichkeit, dieses zu steuern. Diese Steuerung hängt davon ab, dass eine kompromittierte Ressource eine Verbindung zur Infrastruktur des Angreifers herstellt, Anweisungen abruft und Aktionen ausführt. Befehls- und Kontrollmechanismen (C2) sorgen dafür, dass der Angriff funktionsfähig bleibt – sie laufen vom Beginn des Angriffs bis hin zu dessen Auswirkungen.
Deshalb ist es so wichtig, sich der Befehls- und Kontrollstruktur zu entziehen.
Moderne C2-Frameworks sind nicht einfach nur verschlüsselte Kanäle, über die offensichtlich bösartige Nutzdaten übertragen werden. Sie sind so konzipiert, dass die Kommunikation selbst völlig gewöhnlich wirkt – wie der Datenverkehr zu einer normalen Website. Ein anpassbares Profil, das so konfiguriert ist, dass es einem gängigen Webdienst ähnelt, lässt nach der Entschlüsselung keine Absichten des Angreifers erkennen. Der Datenverkehr kann weiterhin routinemäßig aussehen. Die Nutzdaten können weiterhin mehrdeutig wirken. Der Rückruf kann weiterhin dem normalen Anwendungsverhalten ähneln.
Aus diesem Grund reicht eine Entschlüsselung nicht aus, um moderne Angreifer aufzuspüren und zu stoppen.
Bei der Entschlüsselung wird davon ausgegangen, dass Verteidiger die Bedrohung erkennen können, sobald sie den Datenverkehr lesen können. Diese Annahme versagt jedoch bei modernen C2-Systemen. Nach der Entschlüsselung gibt es oft keine eindeutige Signatur, die besagt: „Dies ist die Steuerung des Angreifers.“ Kein offensichtlicher Befehl. Kein eindeutiger Marker für die Nutzlast. Kein klarer Punkt in der Sitzung, an dem sich der Datenverkehr als bösartig zu erkennen gibt. Der Angreifer muss den Datenverkehr nicht versteckt halten. Er muss lediglich vermeiden, dass dieser bedrohlich wirkt.
Das ist das Kernproblem. Durch die Entschlüsselung werden zwar Inhalte sichtbar, doch moderne C2-Systeme sind so konzipiert, dass diese Inhalte kein verlässliches Erkennungssignal liefern.
Auch die Domain-Reputation löst das Problem nicht.
Angreifer nutzen zunehmend seriöse Domains wieder, greifen auf Infrastruktur mit langjähriger Geschichte zurück oder operieren aus öffentlichen cloud , wo ihr Datenverkehr in der riesigen Menge legitimer Anwendungsaktivitäten untergeht. Seltene Domains sind störende Signale, da in einem Unternehmen täglich potenziell Dutzende neuer externer Websites kontaktiert werden. Cloud muss oft vertraut werden, da das Geschäft davon abhängt. Daher ist das Vertrauen in das Ziel nicht mehr ein verlässlicher Weg, um Command-and-Control-Aktivitäten zu identifizieren.
Moderne C2-Umgehungsangriffe greifen beide Annahmen gleichzeitig an.
Die Entschlüsselung funktioniert nicht, da keine zuverlässige Signatur der Nutzdaten vorliegt.
Reputation funktioniert nicht, da es kein zuverlässiges Zielsignal gibt.
Wie ausgefeilt C2-Umgehungstechniken mittlerweile geworden sind
Frameworks haben ihre Umgehungsstrategien über Verschlüsselung und Reputationsmaßnahmen hinaus weiterentwickelt.
Andere Tools zur Netzwerküberwachung konzentrieren sich möglicherweise auf das Signal, das durch die Regelmäßigkeit eines Befehls- und Kontroll-Callbacks entsteht, z. B. ein Beacon. Ein kompromittiertes System würde in vorhersehbaren Abständen eine Verbindung nach Hause herstellen und so einen Rhythmus erzeugen, der identifiziert werden könnte. Dieser Rhythmus kann nützlich sein, da ständige Kontrolle Wiederholungen erzeugt und Wiederholungen ein Signal erzeugen.
Dieser Ansatz weist jedoch zwei Schwachstellen auf.
Beacons selbst lösen viele harmlose Vorgänge aus, wie beispielsweise das Einchecken eines EDR oder die Aktualisierung eines Börsenticker-Displays. Das Auslösen bei jedem Beacon kann in einem Unternehmen Hunderte von Warnmeldungen pro Tag generieren. Tricks wie die Seltenheitsprüfung reduzieren das Rauschen nur teilweise, was wiederum auf die Seltenheit der Ziele zurückzuführen ist, verbunden mit der Gefahr, dass Bedrohungssignale unterdrückt werden, wenn Angreifer öffentliche IP-Adressbereiche nutzen.
Zweitens verschleiern moderne Angriffs-Frameworks dieses konsistente Signal mittlerweile direkt – und umgehen so vollständig Tools, die lediglich nach Beacons suchen.
Angriffstools variieren den Zeitpunkt der Rückrufe. Sie unterbrechen Rückrufe für bestimmte Zeiträume. Sie untergraben die Konsistenz, auf die sich Verteidiger bisher verlassen haben, während sie dem Angreifer die Möglichkeit bewahren, die Kontrolle zu behalten.
Das Sliver-Framework ist ein Beispiel für ausgefeilte Umgehungstechniken, da sich diese nicht auf zeitliche Schwankungen beschränken. Es wendet zudem aggressive Datenjitter-Techniken an, beispielsweise durch mehrschichtige URI-Rotation, und wählt zufällig einen Encoder aus den Sliver-Encodern aus, um das Erscheinungsbild der übertragenen Daten zu verändern, wodurch die Konsistenz der Byte-Zählung über Callbacks hinweg gestört wird. Im Gegensatz zu vielen Frameworks, bei denen diese Umgehungsmechanismen optional sind, ist der Daten-Jitter bei Sliver stets aktiviert und so vielschichtig, dass er einfachere, auf Beacons basierende Annahmen zunichte macht.
Dies ist von Bedeutung, da dadurch einer der letzten offensichtlichen Indikatoren beseitigt wird, auf den Angreifer noch zurückgreifen konnten, nachdem die Sichtbarkeit der Nutzlast und das Vertrauen in das Ziel bereits geschwächt worden waren.
Früher basierten einfachere Erkennungsansätze darauf, nach häufigen Rückrufen, festen Zeitabständen oder sich wiederholenden Sitzungsmustern zu suchen. Moderne C2-Systeme sind jedoch darauf ausgelegt, genau diese Annahmen zu widerlegen. Was übrig bleibt, ist keine eindeutige Signatur. Es handelt sich vielmehr um ein weitaus schwächeres und subtileres Kontrollmuster, das sich erst im Laufe der Zeit erkennen lässt.
Und doch ändert sich trotz all dieser Ausflüchte eines nicht.
Es besteht weiterhin ein C2-Kanal, über den ein Angreifer die Kontrolle über ein System ausüben kann. Das bedeutet, dass das kompromittierte System weiterhin Verbindungen herstellen muss, um Anweisungen zu erhalten und die Kontrolle aufrechtzuerhalten. Der infizierte Rechner initiiert die Kommunikation mit einem vom Angreifer kontrollierten Server.
Angreifer können zwar Teile ihrer Aktivitäten verbergen, doch sie können weder das Bedürfnis nach Kontrolle noch das unverwechselbare Signal, das diese Kontrolle erzeugt, beseitigen.
Das entscheidende Signal
Das deutlichste Anzeichen für moderne C2-Aktivitäten ist nicht die Nutzlast, die Domain oder ein einzelner verdächtiger Datenfluss.
Es handelt sich um die statistischen Verhaltensmuster der Steuerung im zeitlichen Verlauf.
Bei der Verwendung von Command-and-Control kommt es zu einer subtilen Umkehrung der Kontrollverhältnisse im Vergleich zum normalen Datenverkehr. Dies gilt auch dann, wenn die Nutzdaten mehrdeutig sind, die Ziele seriös erscheinen und der Zeitpunkt der Rückrufe stark manipuliert wird.
Dieses Signal ist mit bloßem Auge nicht erkennbar. Es zeigt sich nicht in einem einzelnen Paket oder einer einzelnen Transaktion. Es offenbart sich über Callback-Ereignisse und Datenflüsse hinweg. Es zeigt sich in der Wechselbeziehung zwischen dem Initiator der Kommunikation, dem Verlauf dieser Kommunikation und der Beständigkeit des Kontrollmusters, selbst wenn der Angreifer die äußeren Merkmale verändert.
Aus diesem Grund ist die moderne C2-Erkennung kein Problem der Inspektion. Es ist ein Problem der Modellierung.
Die Herausforderung besteht nicht darin, mehr Datenverkehr zu entschlüsseln. Die Herausforderung besteht darin, das zugrunde liegende Kontrollmuster zu erkennen, das Verschlüsselung, harmlos wirkende Profile, seriöse Infrastruktur, cloud öffentlichen cloud , Randomisierung von Rückrufen und Verschleierungstaktiken überdauert.
Wie Vectra AI das Problem mit KI Vectra AI
Vectra AI entwickelt, um dieses tiefer liegende Kontrollsignal zu erkennen.
Wir verlassen uns nicht auf Entschlüsselung, um die Absichten von Angreifern aufzudecken. Wir verlassen uns nicht auf die Reputation von Domains, um festzustellen, ob ein Ziel bösartig ist. Wir verlassen uns nicht ausschließlich auf ein starres Verständnis der Regelmäßigkeit von Beacons. Stattdessen Vectra AI auf Verhaltensindikatoren für Command-and-Control-Aktivitäten, die über einen längeren Zeitraum hinweg bestehen bleiben – unabhängig davon, wie der Angreifer versucht, den Kanal zu verschleiern.
Dafür ist der richtige Modellierungsansatz erforderlich.
Um dieses subtile Signal zu erkennen, Vectra AI ein kompaktes Sequenzmodell Vectra AI und setzt dieses in Kundenumgebungen ein, das ein LSTM mit einer Self-Attention-Schicht kombiniert. Das Design greift auf den nützlichsten Mechanismus zurück, der durch moderne Sprachmodelle bekannt geworden ist – die Attention –, behält jedoch den Fokus der Architektur auf sequenzielles Netzwerkverhalten bei und ist kompakt genug, um direkt auf Sensoren eingesetzt zu werden.
Das Modell wurde in zwei Schritten trainiert. Zunächst lernte es aus großen Mengen unbeschrifteter Netzwerktelemetriedaten, um die Grundstruktur normaler Kommunikation zu erfassen, ohne sich vollständig auf manuell beschriftete Beispiele stützen zu müssen. Dieser Vortrainingsschritt half dem Modell dabei, ein Modell dafür zu entwickeln, wie sich harmloser Datenverkehr im Zeitverlauf verhält. Anschließend wurde es mit bösartigen C2-Beispielen feinabgestimmt, die mithilfe einer automatisierten Angriffslaborinfrastruktur generiert wurden, sowie mit realen Beispielen, die den Konfigurations- und Profilraum verfügbarer Tools und benutzerdefinierter C2-Frameworks abdeckten. Diese wurden mit Beispielen für harmlosen Datenverkehr kombiniert, damit das Modell subtile Steuerungsmuster unterscheiden konnte, die auch dann bestehen bleiben, wenn Angreifer das Timing randomisieren, die Payload-Größe variieren, URIs rotieren oder auf andere Weise versuchen, offensichtliche Beaconing-Signaturen zu unterbrechen.
Mit über 6 Millionen Parametern – im Vergleich zu rund 110 Millionen bei einer kleinen BERT-Baseline – bleibt das Modell kompakt genug, um in Kundenumgebungen ausgeführt zu werden, selbst in solchen mit Air-Gap, und erfasst dennoch Verhaltensstrukturen über größere Zeiträume hinweg.
Das ist wichtig, denn bei einer erfolgreichen C2-Erkennung geht es nicht darum, einen statischen Indikator in einer Nutzlast zu finden oder ein verdächtiges Ziel zu markieren. Es geht vielmehr darum, das Verhaltensmuster der Steuerung zu erkennen, das sich hinter diesen Tarnmanövern verbirgt.
Vectra AI moderne C2-Kommunikation, ohne auf Entschlüsselung angewiesen zu sein, ohne sich auf die Reputation des Ziels zu stützen und ohne sich ausschließlich auf klassische Beaconing-Signale zu verlassen, die moderne Angreifer gezielt abgeschwächt haben.
Der Beweis für die Wirksamkeit dieses Ansatzes liegt letztlich in seiner Validierung in unserem gesamten Kundenstamm, wo er unzählige reale Angriffe aufgedeckt und bei Red-Team-Einsätzen Warnungen ausgegeben hat, die andere Tools aufgrund dieser Umgehungsversuche nicht erkennen konnten – und das alles, ohne übermäßigen Rausch zu erzeugen, der das eigentliche Signal überdecken könnte.
Und das ist nur ein Teil der Geschichte.
Kein Angriff endet mit einem C2-Kanal. Command-and-Control ebnet den Weg für die nächsten Schritte: Aufklärung, laterale Bewegung, Ausweitung von Berechtigungen, Persistenz, Datenzugriff und -exfiltration sowie cloud . Vectra AI diesen verhaltensbasierten, KI-gesteuerten Ansatz auch auf diese Verhaltensweisen und korreliert Signale über verschiedene Techniken, das Netzwerk, Identitäten und die cloud hinweg, cloud echte Angriffe aufzudecken und zu stoppen.
Wenn Sie mehr über den Silver C2 von Vectra erfahren möchten, finden Sie hier einen ausführlichen Bericht:
Um verschlüsselte Bedrohungen in Ihrer Umgebung zu stoppen, fordern Sie eine Demo an.