C2 mit Dinosauriern

research

Angreifer nutzen gerne Programme, die als Open Source verfügbar sind und typischerweise als legitim sowie harmlos eingestuft werden (z. B. rclone oder ADExplorer). Unsere Incident Response und Application Security Experten gingen der folgenden Frage nach: In wie weit lässt sich Velociraptor als Command and Control (C2) Framework verwenden?

Die Untersuchungen zeigten, dass Velociraptor zwar einige der typischen Funktionalitäten für ein C2 Framework bietet, aber es an Möglichkeiten für komplexere Angriffstechniken fehlt. Weiterhin lässt sich die Nutzung von Velociraptor, insbesondere für bösartige Zwecke, gut mit bestehenden Mitteln identifizieren. Insgesamt ist festzustellen, dass der Einsatz derzeit verfügbarer C2 Frameworks sinnvoller ist, als Velociraptor zu einem C2 Framework umzufunktionieren.

Nähere Details finden sich im englischen Blog Post.

Über den Autor

Herbert Bärschneider

Security Consultant

Herbert arbeitet als forensischer Analyst im Managed Incident Response Team von SEC Consult. Parallel zu seiner operativen Arbeit schließt er ein Masterprogramm ab und erforscht Nischenbetriebssysteme für forensische Artefakte. Er schätzt es, der Gemeinschaft etwas zurückzugeben, indem er zu Triage- und Threat Hunting-Funktionen beiträgt.

 

Daniel Hirschberger


Alexander Neben


Alexander ist Security Consultant bei SEC Consult und spezialisiert auf Webanwendungs- und Infrastruktursicherheit. Neben seiner Beratungstätigkeit schließt er gerade seinen Master ab. Er forscht an Red-Team-Methoden einschließlich der Entwicklung eigener Tools sowie KI-gestützter Sicherheitstestverfahren und engagiert sich dafür, die Cybersecurity-Forschung und Innovation voranzutreiben.