Что такое С2 мы рассмотрели прошлый раз. Теперь давайте представим себя в роли киберразведчика и попробуем с помощью Shodan и Censys поискать такую инфраструктуру. С2 сервера не всегда могут иметь отношение к плохим парням, так как это может быть сервер пентестеров (речь о white hat), да и особенно опытные знают как грамотно их скрыть и не выставляют наружу, тем не менее, рассмотрим как это вообще делается. Часто, такие сервера вы можете встретить в отчетах о киберугрозах с пометкой IOC (индикатор компрометации).
Зачем вообще это может быть нужно вам? Например в случае если на своем SIEM вы обнаружили один из адресов атакующих и найдя общие точки, нашли и заблокировали остальные похожие. Нужно играть на опережение. Еще один пример — насколько мне известно, компания разработчик одного из инструментов для пентестеров Nighthawk регулярно (или периодически) проверяет интернет на наличие взломанных/утекших копий своего сервера.
Начнем с Shodan.
Самый простой вариант
в поисковике shodan выполним
tag:malware
Можно также попробовать
http.title:”hacked by”
Как видим, результаты есть
Далее, возьмем один из свежих отчетов, например этот от коллег из F6
Идем в самый низ в раздел — Индикаторы компрометации (IOCs)
Возьмем один из IP адресов, например этот — 83.229.70[.]5 и проверим его на VirusTotal
Теперь посмотрим в Shodan
В зависимости от результата, нас может заинтересовать все, что делает именно этот ip адрес или домен уникальным — страница заглушка, сертификат ssl, ssh ключи и т.д.
Одна из самых полезных вкладок — Raw data, доступна только с опцией подписки, но даже без нее, мы можем посмотреть, нажав как на скрине выше (отмечено стрелкой) и сделать вывод или хотя бы попытаться, насколько данный сервер/сервис уникален.
Нас интересует как что-то одинаковое, так и что-то уникальное. Хороший TI отчет пишется не за пару часов :), исследовать приходится много и долго.
Если у вас нет подписки Shodan, SSL сертификаты можно посмотреть в Censys. Перейдем к нему.
Важно отметить, что не все, что вы найдете, будет относиться к инфраструктуре злоумышленников.
Скопируем хэш ssl и вернемся в Shodan. Сделаем в поиске запрос вида
ssl:hash (здесь хэш из censys со скрина выше)
В Censys выполним запрос
"Major Cobalt Strike"Видим результат
Далее попробуем найти NimPlant C2
"NimPlant C2 Server"
Проверим этот адрес на Вирустотал
Как минимум стоит насторожиться 🙂
Теперь Havoc
services.banner:"X-Havoc"
А теперь сделаем такой запрос
labels=`c2`
Видим результат.
Собственно продолжать можно очень долго и делать это по каждому из известных С2 фреймворков, как в Shodan и Censys, так и других сервисах со схожим функционалом. Есть специальные репозитории с примерами запросов и индикации. При написании отчетов, копать приходится намного глубже и запросы выглядят куда сложнее.
Поиск можно автоматизировать, а также применять данные из других платформ, но в данном случае, моей задачей было показать на простом примере, как вы можете начать это делать самостоятельно, в случае если вам необходимо проверить IP адреса из логов своего антивируса или SIEM.