C2 Encubierto en Tráfico Web

La técnica T1071.001, conocida como “Application Layer Protocol: Web Protocols” en la MITRE ATT&CK framework, permite a los atacantes utilizar protocolos web comunes, como HTTP o HTTPS, para comunicarse con sistemas comprometidos, mezclándose con el tráfico legítimo de la red y aprovechando que estos protocolos son esenciales para la navegación.

Funcionamiento de la Técnica

Los atacantes envían comandos y reciben respuestas usando tráfico HTTP o HTTPS, a menudo cifrado, lo que dificulta la detección mediante el análisis de tráfico. Dado que la mayoría de firewalls y proxies permiten el tráfico de estos protocolos, el malware puede operar sin interrupciones, disfrazando su comunicación maliciosa como actividad normal.

Ejemplo de Uso

Un atacante podría configurar un servidor de comando y control (C2) que se comunique con un malware en el sistema comprometido, usando solicitudes HTTP o HTTPS para enviar instrucciones o exfiltrar datos. Este tráfico malicioso se camufla como actividad legítima hacia sitios comunes, reduciendo la sospecha y dificultando su identificación.

Si el atacante usa la técnica T1071.001 mientras la víctima navega en un sitio web “confiable”, el malware puede seguir comunicándose con el C2 de forma oculta. Esto se logra mediante varios métodos:

  • Domain Fronting: Configurar el servidor C2 para que parezca asociado a un dominio confiable y redirigir las solicitudes al servidor malicioso, camuflándolas en subdominios o direcciones IP de apariencia legítima.
  • Inyección en Tráfico Legítimo: Insertar solicitudes HTTP o HTTPS adicionales en el tráfico de navegación de la víctima, utilizando actividades normales como búsquedas o clics como camuflaje para las comunicaciones maliciosas.
C2 Encubierto en Trafico Web
  • C2 en Tráfico Cifrado (HTTPS): Usar HTTPS para ocultar las conexiones maliciosas dentro del tráfico cifrado, evitando la detección sin inspección HTTPS.
  • Uso de Servicios en la Nube: Disfrazar las solicitudes de C2 como accesos a servicios de almacenamiento en la nube (como Google Drive), que suelen ser considerados confiables por los sistemas de seguridad.

En la práctica, aunque la víctima esté navegando, el malware puede seguir enviando tráfico cifrado al servidor C2 de manera encubierta y en intervalos aleatorios, manteniéndose operativo sin ser detectado.

¡No esperes a que sea demasiado tarde! Ponte en contacto con nosotros y asegura tu futuro digital hoy mismo.

Más información

Mitigación y Detección

Para mitigar y detectar esta técnica, las organizaciones pueden:

  • Inspección profunda de paquetes (DPI): Analizar HTTPS para identificar actividades inusuales incluso dentro de tráfico cifrado.
  • Análisis basado en comportamiento: Identificar patrones de tráfico inusuales, como conexiones recurrentes a servidores desconocidos.
  • Políticas de DNS e IP: Limitar conexiones a dominios verificados, monitoreando y bloqueando accesos a sitios sospechosos.

Con estos métodos, es posible mejorar la detección y bloquear las actividades del malware que aprovechan protocolos de uso común, evitando que el tráfico malicioso pase desapercibido.

Temas que podrían interesarte:

Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.