C2 framework, tehlikeye atılmış sistemlere erişimi kontrol eden ve sürdüren bir mimaridir. Amacı, diğer kişilerin bilgisayarlarında komutlar çalıştırmanıza izin vermektir, ancak birçok C2 framework yasadışı komut yürütmeye karşı savunmasızdır.
Bazı durumlarda, varsayılan seçenekleri kullanarak bu çerçeveleri genel bir ağda çalıştırdığınızda olduğu gibi, uzaktan kod yürütmeye (RCE) maruz kalabilirsiniz.
Genellikle, “post-sömürü” terimi sıklıkla C2 çerçeveleriyle ilişkili olarak kullanılır: Bu çerçeveler, tedarik zinciri saldırıları, kimlik avı veya web güvenlik açıkları yoluyla hedefin bilgisayarı üzerinde bir dereceye kadar kontrol sahibi olan saldırganları desteklemek için tasarlanmıştır.
Araştırmacılar, kırmızı takım değerlendirmelerinde kullanılan açık kaynaklı C2 çerçevelerinin RCE saldırılarına karşı savunmasız olduğunu keşfettiler.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
C2 Çerçevesinin Tehditleri
Include Security Research ekibine göre operatörler, karmaşık kampanyaların yönetimini basitleştirmek için C2 çerçevelerinden yararlanıyor.
C2 çerçeveleri, hedef sonrası istismar sırasında birden fazla operatörün işbirliği yapmasına olanak tanır.
Ancak C2 çerçevelerindeki hatalar ve tasarım açıkları, kampanyalara ve kırmızı takım operatörlerine yönelik güvenlik endişelerine yol açabilir.
Örneğin, bir XSS (Siteler Arası Komut Dosyası) güvenlik açığı olan CVE-2022-39197, HelpSystems Cobalt Strike’ın 4.7 sürümüne kadar izlendi ve bulundu. Bu güvenlik açığı, uzaktaki bir saldırganın Cobalt Strike ekibi sunucusunda HTML yürütmesine izin veriyordu.
Bir aracı, ekip sunucusuna güvenilmeyen girdi sağlar ve bu girdi, ekip sunucusu kullanıcı arayüzünde bir operatör tarafından görüntülendiğinde, siteler arası betik çalıştırmaya veya uzaktan kod yürütmeye neden olur.
Başka bir düşük ayrıcalıklı “operatör” kullanıcısı, CVE-2024-41111 olarak tanımlanan takım sunucusunda Uzaktan Kod Yürütme (RCE) gerçekleştirmek için Sliver sürüm 1.6.0’ı (ön sürüm) kullanabilir. Burada, sistemin kök kullanıcısı RCE’dir.
Sliver, genellikle birçok işletme türünde güvenlik testleri için kullanışlı olan, kırmızı takımlar ve rakip simülasyonları için açık kaynaklı, çapraz platformlu bir çerçevedir.
Bu güvenlik açığından faydalanan bir operatör, tüm konsol kayıtlarını görebilir, diğer operatörleri atabilir, sunucudaki tüm dosyalara erişebilir ve bunları değiştirebilir ve en sonunda sunucuyu silebilir.
Sliver ekibi, farkına vardıktan sonra bu açığı ele aldı. Sliver’a benzer şekilde Havoc’un da takım sunucusunda kimliği doğrulanmış bir RCE açığı var.
Bu RCE açığı, Havoc’u güvenilmeyen bir ağda varsayılan ayarlarla çalıştıracak kadar dikkatsiz olan herkes tarafından hemen istismar edilebilir, çünkü Havoc’un varsayılan yapılandırması “password1234” parolasına sahip iki kullanıcı oluşturur.
Güvenlik duvarları kapalı olsa bile, Chebuya’nın yeni bulduğu bir SSRF açığı nedeniyle takım sunucuları yine de tehlikeye girebiliyor.
Raporda, Ninja web sunucusunun yol geçişi yoluyla kimlik doğrulaması olmadan keyfi dosya indirmelerine karşı savunmasız olduğu belirtiliyor. Bu, kök olarak çalışırken takım sunucusuna karşı anında RCE’ye veya takım sunucusunun bir sonraki yeniden başlatılmasında RCE’ye neden oluyor.
SHAD0W, aracıların ekip sunucusu talimatlarına eklenen güvenilmeyen girdiyi sağlaması durumunda oluşan kimliği doğrulanmamış RCE’ye karşı savunmasızdır.
SHAD0W, Python arka ucu ve C’de yazılmış aracılar içeren bir C2 çerçevesidir. Bu durumda, SHAD0W terminolojisinde “beacon” olarak adlandırılan yeni bir aracı, ekip sunucusuna giriş yaptığında tehlikeye atılan sistemle ilgili mimariyi, etki alanını, işletim sistemini ve diğer ayrıntıları bildirir.
Araştırma ekibi SHAD0W geliştiricisiyle birçok kez iletişime geçti ancak hiçbir geri dönüş olmadı.
Çerçeveler, aracı, ekip sunucusu ve istemci arasında sıkı veri sınırları sağlayarak bu tür güvenlik açıklarını önlemede en iyi şansa sahiptir.
Cobalt Strike’ın varsayılan taşıma ve işaret davranışları o kadar güçlü bir şekilde parmak izlerine sahiptir ki, makul savunmalara sahip bağlamlarda çalışabilmeleri için önemli ölçüde yama ve özelleştirmeye ihtiyaç duyarlar.
Açık kaynaklı C2 çerçevelerinin aracıları ve taşıma protokolleri, kullanıma sunuldukları anda aynı kaderi yaşamaya başlar. Sistemin en az maruz kalan kısımları istemci ve teamserver’ın istemciye bakan kısmıdır.
Dolayısıyla, operatörlerin kendi kapalı kaynaklı kaçış ajanlarını ve taşıyıcılarını yaratacakları anlayışıyla, bu açıkta olmayan bileşenleri güvenilir, emniyetli ve özellik açısından zengin hale getirmek mantıklı bir tasarım seçimidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial