مخفی کردن ارتباطات C2 با HTTP Forwarderها

در ارزیابی رایج گروه قرمز Redirector بخشی حیاتی از زیرساخت‌های مورداستفاده است. یک Redirector اساساً جعبه‌ای است که بر روی اینترنت قرار می‌گیرد (معمولاً به شکل نوعی شبکه ارائه‌دهنده سرویس ابری) و ترافیک را به گروه قرمز می‌فرستد تا گروه آبی هیچ‌گاه نتواند نشانی IP سرور فرماندهی و کنترل (C2) را ببیند. اگر یک کانال C2 فاش شود گروه قرمز می‌تواند به‌جای اینکه تمام زیرساخت را تغییر دهد Redirector جدیدی ایجاد می کند. وقتی HTTPS درگیر باشد می‌بایست با گواهی‌ها، دسته‌بندی و سرآغازی از مشکلات کنار بیایید. هدف از این تکنیک حل این مسئله است.

 

طبق معمول هدف از میزبانی کردن Redirector این است که:

  • سرور گروه قرمز را با پنهان کردن نشانی IP آن مبهم کند. به‌عبارت‌دیگر قربانی خواهد دید که ترافیک به‌جای سرور گروه از میزبان دیگری می‌آید.
  • اگر پاسخگویان حادثه (incident responders) فعالیت مشکوکی که منشأ آن در Redirector است، شناسایی کنند می‌توان آن را به «آسانی» منحل و با دیگری جایگزین کنند که بالطبع «آسان‌تر» از بازسازی سرور گروه است.

 

🔥 مشاهده آموزش مخفی کردن ارتباطات C2 با HTTP Forwarders