Analizamos brevemente su principal funcionalidad y métodos de detección. DeimosC2 es un marco de C&C posterior a la explotación de código abierto que se lanzó en junio de 2020. DeimosC2 está escrito en Go y es multiplataforma.
El marco puede generar una carga útil que debe iniciarse de forma independiente en un servidor comprometido. Al implementar una carga útil generada por el marco, los atacantes pueden obtener acceso a los sistemas de la víctima con derechos normales de usuario y administrador.
Importante: DeimosC2 no ataca directamente y no puede elevar los privilegios del atacante por sí solo, pero ello no lo hace menos peligroso.
A continuación os mostramos una lista de características que ofrece el marco:
- Varios métodos de comunicación entre agentes y oyentes, como TCP, HTTPS, DoH y QUIC.
- Es posible comprometer \\ y el primer nodo de reenvío a través de TCP.
- Es posible complementar el conjunto de payloads con uno propio y en diferentes lenguajes de programación.
- La API de WebSockets se utiliza para ejecutar scripts.
Cómo detectarlo
Para detectar la actividad de DeimosC2, los expertos recomiendan monitorear regularmente las conexiones salientes para identificar los hosts más activos y marcar todos los nodos que envían una cantidad significativamente mayor de datos de lo habitual.
Además, no será superfluo buscar conexiones inusuales. Esto ayudará a detectar no solo DeimosC2, sino también otros programas maliciosos y sus conexiones con los servidores de los atacantes. Si desea obtener más información sobre este marco, no dude en consultar el GitHub de los desarrolladores y leer el informe de los especialistas: analizaron todas sus funciones en detalle.
Alchimist, un ejemplo con marco C&C.
Escrito en Go, Alchimist se complementa con un implante de baliza llamado Insekt, que tiene funciones de acceso remoto que se pueden controlar desde un servidor C&C. La carga útil de Insekt se puede configurar en la interfaz de Alchimist con varias opciones, que incluyen IP/URL C2, plataforma (Windows o Linux), protocolo de comunicación (TLS, SNI, WSS/WS).
La dirección de C&C está conectada al implante generado y contiene un certificado autofirmado creado en el momento de la compilación. Al mismo tiempo, el servidor de control hace ping 10 veces por segundo y, si los intentos de establecer una conexión no tienen éxito, el malware vuelve a intentarlo en una hora.
Los expertos señalan que los servidores de Alchemist solo transmiten comandos para su ejecución, y es Insekt quien los ejecuta en sistemas Windows y Linux infectados. En particular, Insectkt es capaz de:
- Averiguar los tamaños de archivo.
- Obtener información sobre el sistema operativo.
- Ejecutar comandos arbitrarios a través de cmd.exe o bash.
- Actualizar la versión actual de Insectkt.
- Ejecutar comandos arbitrarios en nombre de otro usuario.
- Descativar durante un cierto tiempo, que está determinado por el servidor de control.
- Iniciar/dejar de tomar capturas de pantalla.
Para defenderse de este tipo de ataques es capital contar con un Ethical Hacker. De toda la oferta existente en el mercado formativo te recomendamos la Certificación en Hacking Ético-Pentesting de la Evidentia University de EE.UU; ya que en tan sólo 12 semanas, sin conocimiento previo, puedes convertirte en un experto en la materia. Además si utilizas este Código: copyhack, obtendrás un descuento del 10% en tu matrícula por ser uno de nuestros fieles lectores. No pierdas la oportunidad de formarte en una profesión con gran proyección de futuro, en la que sus profesionales ganan una media de 3672€ al mes.
