C2 & Beacon: PoC e análise

Essa é uma PoC de um agente de execução remota via C2. A ideia inicial desse agente é ser o mais simples possível e parecer inofensivo à primeira vista. Observe que, neste post, não irei apresentar detalhes dos vetores para fazer com que o usuário baixe e execute o agente em modo administrador. Apresentarei apenas a forma como ele pode burlar sistemas de segurança automatizados (como antivírus, scanners, firewalls, entre outros) e como pode passar despercebido por profissionais de TI que talvez não estejam tão atentos ao conjunto total do tráfego de rede do alvo.

Vamos, primeiramente, explicar o que é um agente de C2 ou Beacon, se preferir. É basicamente uma aplicação que, sozinha, não faz nada muito aparente, mas fica à espera de comandos vindos de um terminal remoto (C2). Esse terminal pode ser acessado de várias formas, seja por requisições HTTP, transações em redes de blockchain, padrões de pacotes TCP, ondas sonoras captadas através do microfone do dispositivo infectado, entre diversas outras. A que utilizaremos nesta PoC é a que faz parte da minha especialização: consultas DNS.