top of page
  • Writer's pictureMateusz Kaczyński

C&C - Check IP's

Updated: Apr 30



Network



KB000002





W myśl hasła:


banner


warto regularnie monitorować ruch sieciowy w domach, aby zapobiec nie autoryzowanej, nie pożądanej działalności osób/robotów z zewnątrz. Chociaż nie istnieje uniwersalny wzorzec, który w każdej sytuacji pozwala jednoznacznie identyfikować aktywność szpiegowską, zaleca się podejmowanie dostępnych kroków, takich jak kontrola aktywności serwerów Command and Control (C2), aby sprawdzić, czy nie są one obecnie aktywne na naszym hoście.




Jak w prosty sposób

sprawdzić podejrzaną aktywność?



Otwórz terminal ( CTRL + ALT + T ) i uruchom polecenie:


[ Jeśli wiesz która kolumna zawiera PID ]

lsof -i | grep 'ESTABLISHED'

[ jeśli potrzebujesz nagłówków w kolorze ]

(lsof -i -nP | grep -m 1 'COMMAND\|PID\|USER\|FD\|TYPE\|DEVICE\|SIZE/OFF\|NODE\|NAME'; lsof -i -nP | grep 'ESTABLISHED')

[ jeśli wystarczą ci same nagłówki ]

lsof -i -nP | awk 'NR==1 || /ESTABLISHED/'

Używamy selektywnie stanu 'ESTABLISHED', dlatego że informuje to nas o trwałym i ustanowionym połączeniu. C2 podczas wykonywania operacji, wymaga tego.




Przykład dziwnej pozycji która powinna nas zainteresować to:


banner with data

Powiedzmy że zauważasz, iż proces 'python3', który jest ogólnym interpreterem Pythona, nawiązuje jakieś zewnętrzne połączenie sieciowe np. C&C. I teraz tak: o ile wiadomo że Python używany jest do legalnych zadań, o tyle w różnych scenariuszach, zwłaszcza gdy nie jesteś programistą, powinno zostać to poddane prostej analizie:


  •  a kto,

  • a skąd

  • a jak,

  • a po co,

  • a od kiedy





Jak przeprowadzić proste dochodzenie

podejrzanej aktywności z udziałem C&C?



Krok 1: Sprawdź katalog roboczy z plikiem

sudo pwdx <numer PID>

[ W razie potrzeby rozszerz powyższe wyniki o informację o procesie ]

ps -f -p <numer PID>

Krok 2: Pozyskaj dane o połączeniu

lsof -p <numer PID>

Krok 3: Uruchom monitoring połączenia

sudo strace -p <numer PID>



Zdarza się czasami, że backdoory itp. pozostawiają plik typu 'dziennik.log', który wykorzystywany jest do operacji typu 'debbuging'. Mając zgromadzone dane, przeszukaj katalog roboczy i po znalezieniu odczytaj zawartość np. za pomocą poniższego plecenia:


tail -f /path/to/file





PODSUMOWUJĄC



Kontrola ruchu sieciowego, w poszukiwaniu dziwnych aktywności ze statusem 'ESTABLISHED' może pomóc w wychwyceniu działania Command & Control i przerwanie eksfiltracji danych na skompromitowanym urządzeniu poprzez odłączenie go od sieci i prądu. To w gruncie rzeczy, stanowi pierwszy krok.


Wszystkie powyższe dane należy zgromadzić i przesłać do CERT Polska wraz z opisem sytuacji za pomocą formularzy dostępnych na https://incydent[.]cert.pl/#!/lang=pl


Może się okazać że zostaniesz poinformowany o konieczności zgłoszenia się do specjalnego oddziału komendy. Jest to normalna procedura.





logo ubuntu

Comments


bottom of page