Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:c2_server_fingerprinting [2024/01/17 21:08]
gperkovic [Sažetak] 		racfor_wiki:seminari2023:c2_server_fingerprinting [2024/12/05 12:24] (trenutno)
Redak 17: Redak 17:
 Otkrivanje Command and Control (C2) aktivnosti predstavlja izazov u području sigurnosti. Ovisno o spretnosti napadača, kvaliteti sigurnosnih mehanizama i drugom otkrivanje napada može trajati od nekoliko dana do nekoliko mjeseci. Otkrivanje Command and Control (C2) aktivnosti predstavlja izazov u području sigurnosti. Ovisno o spretnosti napadača, kvaliteti sigurnosnih mehanizama i drugom otkrivanje napada može trajati od nekoliko dana do nekoliko mjeseci.
 ====== C2 server fingerprinting ====== ====== C2 server fingerprinting ======
- C2 server //fingerprinting// jedan je od procesa kojim se nastoji otkriti prisutnost "uljeza" u sustavu i prekinuti C2 napad. Temelji se na analizi i identifikaciji karakterističnih obilježja C2 servera koji se skupno nazivaju fingerprint. Fingerprinting obično uključuje analizu mrežnog prometa, karakteristika komunikacije s C2 serverom te ponekad i specifičnosti koda ili protokola koji se koriste. Kako bi se povećale šanse otkrivanja "uljeza", fingerprinting se kombinira s drugim metodama detekcije C2 kao što su analiza DNS prometa, analiza mrežnog prometa itd. Učinkovitost metode ovisi o sposbnosti napadača da prikrije svoje tragove te nažalost nije konačno rješenje ovom problemu, a i napadači konstantno prilagođavaju svoje taktike kako bi izbjegli detekciju, što čini ovu vrstu analize izazovnom.  + C2 server //fingerprinting// jedan je od procesa kojim se nastoji otkriti prisutnost "uljeza" u sustavu i prekinuti C2 napad. Temelji se na analizi i identifikaciji karakterističnih obilježja C2 servera koji se skupno nazivaju fingerprint. Fingerprinting obično uključuje analizu mrežnog prometa, karakteristika komunikacije s C2 serverom te ponekad i specifičnosti koda ili protokola koji se koriste. Kako bi se povećale šanse otkrivanja "uljeza", fingerprinting se kombinira s drugim metodama detekcije C2 kao što su analiza DNS prometa, analiza mrežnog prometa itd. Učinkovitost metode ovisi o sposobnosti napadača da prikrije svoje tragove te nažalost nije konačno rješenje ovom problemu, a i napadači konstantno prilagođavaju svoje taktike kako bi izbjegli detekciju, što čini ovu vrstu analize izazovnom.  
  
 Nerijetko je jako teško uočiti komunikaciju zaraženog računala sa serverom napadača zato što se komunikacija odvija na vrlo uobičajen način, primjerice otkriveno je da se naredbe razmjenjuju koristeći Slack, Messenger i slično. Ako je sustav zaražen ili pogođen C2 napadom, napadači često koriste skalabilnu arhitekturu i automatsko razmještanje kako bi da učinkovito kontrolirali velik broj zaraženih računala ili mreža. Dijelovi infrastrukture poput metoda razmještanja, instaliranih //libraryja//, poslužitelja i njegove verzije ostaju nepromijenjeni kako bi održali stabilnost komunikacije između zaraženog računala i C2 servera.  Nerijetko je jako teško uočiti komunikaciju zaraženog računala sa serverom napadača zato što se komunikacija odvija na vrlo uobičajen način, primjerice otkriveno je da se naredbe razmjenjuju koristeći Slack, Messenger i slično. Ako je sustav zaražen ili pogođen C2 napadom, napadači često koriste skalabilnu arhitekturu i automatsko razmještanje kako bi da učinkovito kontrolirali velik broj zaraženih računala ili mreža. Dijelovi infrastrukture poput metoda razmještanja, instaliranih //libraryja//, poslužitelja i njegove verzije ostaju nepromijenjeni kako bi održali stabilnost komunikacije između zaraženog računala i C2 servera. 
Redak 55: Redak 55:
 ====== Zaključak ====== ====== Zaključak ======
 Važnost otkrivanja Command and Control (C2) aktivnosti jedna je od ključnih komponenti u borbi protiv cyber prijetnji. Metode C2 server fingerprintinga poput onih korištenih u alatima JARM i JA3/JA3S pružaju analitičarima važne resurse za prepoznavanje malicioznih servera temeljem karakterističnih obilježja. Unatoč napretku izazovnost detekcije ostaje s obzirom na stalno prilagođavanje taktika napadača. Nadalje istraživanje i kombinacija različitih metoda ostaju ključni elementi u usavršavanju tehnika za očuvanje sigurnosti u digitalnom okruženju. Važnost otkrivanja Command and Control (C2) aktivnosti jedna je od ključnih komponenti u borbi protiv cyber prijetnji. Metode C2 server fingerprintinga poput onih korištenih u alatima JARM i JA3/JA3S pružaju analitičarima važne resurse za prepoznavanje malicioznih servera temeljem karakterističnih obilježja. Unatoč napretku izazovnost detekcije ostaje s obzirom na stalno prilagođavanje taktika napadača. Nadalje istraživanje i kombinacija različitih metoda ostaju ključni elementi u usavršavanju tehnika za očuvanje sigurnosti u digitalnom okruženju.
 +
 +Video: https://drive.google.com/file/d/1uZU2k5snLYG24RAohX17TztW3gI2J8Iq/view?usp=sharing
 +
 +Video uradak nije na fer-driveu zato što mi prvih 5 sekundi video stoji kako god probala popraviti. 
 ====== Literatura ====== ====== Literatura ======
 [1] [[https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163|https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163]] [1] [[https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163|https://medium.com/@kumarishefu.4507/try-hack-me-intro-to-c2-write-up-56321088d163]]
racfor_wiki/seminari2023/c2_server_fingerprinting.1705525693.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0