Multi-Stage Channels

Adversaries may create multiple stages for command and control that are employed under different conditions or for certain functions. Use of multiple stages may obfuscate the command and control channel to make detection more difficult.

Remote access tools will call back to the first-stage command and control server for instructions. The first stage may have automated capabilities to collect basic host information, update tools, and upload additional files. A second remote access tool (RAT) could be uploaded at that point to redirect the host to the second-stage command and control server. The second stage will likely be more fully featured and allow the adversary to interact with the system through a reverse shell and additional RAT features.

The different stages will likely be hosted separately with no overlapping infrastructure. The loader may also have backup first-stage callbacks or Fallback Channels in case the original first-stage communication path is discovered and blocked.

Angreifer können mehrere Stufen für Befehl und Kontrolle einrichten, die unter verschiedenen Bedingungen oder für bestimmte Funktionen eingesetzt werden. Die Verwendung mehrerer Stufen kann den Befehls- und Kontrollkanal verwirren, um die Entdeckung zu erschweren.

Fernzugriffstools rufen den Befehls- und Kontrollserver der ersten Stufe auf, um Anweisungen zu erhalten. Die erste Stufe kann über automatische Funktionen verfügen, um grundlegende Host-Informationen zu sammeln, Tools zu aktualisieren und zusätzliche Dateien hochzuladen. Ein zweites Fernzugriffs-Tool (RAT) könnte zu diesem Zeitpunkt hochgeladen werden, um den Host an den Command-and-Control-Server der zweiten Stufe umzuleiten. Die zweite Stufe ist wahrscheinlich umfangreicher ausgestattet und ermöglicht dem Angreifer die Interaktion mit dem System über eine Reverse Shell und zusätzliche RAT-Funktionen.

Die verschiedenen Stufen werden wahrscheinlich separat gehostet, ohne dass sich die Infrastruktur überschneidet. Der Loader verfügt möglicherweise auch über Backup-Rückrufe der ersten Stufe oder Fallback Channels für den Fall, dass der ursprüngliche Kommunikationspfad der ersten Stufe entdeckt und blockiert wird.

Les adversaires peuvent créer plusieurs étapes pour la commande et le contrôle qui sont employées dans différentes conditions ou pour certaines fonctions. L'utilisation de plusieurs étapes peut obscurcir le canal de commande et de contrôle pour rendre la détection plus difficile.

Les outils d'accès à distance rappelleront le serveur de commande et de contrôle de la première étape pour obtenir des instructions. La première étape peut avoir des capacités automatisées pour collecter des informations de base sur l'hôte, mettre à jour les outils et télécharger des fichiers supplémentaires. Un deuxième outil d'accès à distance (RAT) pourrait être téléchargé à ce moment-là pour rediriger l'hôte vers le serveur de commande et de contrôle de la deuxième étape. La deuxième étape sera probablement plus complète et permettra à l'adversaire d'interagir avec le système par le biais d'un shell inversé et de fonctions RAT supplémentaires.

Les différentes étapes seront probablement hébergées séparément, sans que l'infrastructure ne se chevauche. Le chargeur peut également disposer de rappels de secours pour la première étape ou de [Fallback Channels] (/techniques/T1008) au cas où le chemin de communication original de la première étape serait découvert et bloqué.

Gli avversari possono creare stadi multipli per il comando e il controllo che vengono impiegati in condizioni diverse o per determinate funzioni. L'uso di stadi multipli può offuscare il canale di comando e controllo per rendere più difficile il rilevamento.

Gli strumenti di accesso remoto richiamano il server di comando e controllo del primo stadio per le istruzioni. Il primo stadio può avere capacità automatizzate per raccogliere informazioni di base sull'host, aggiornare gli strumenti e caricare file aggiuntivi. A quel punto si potrebbe caricare un secondo strumento di accesso remoto (RAT) per reindirizzare l'host al server di comando e controllo della seconda fase. Il secondo stadio sarà probabilmente più completo e permetterà all'avversario di interagire con il sistema attraverso una shell inversa e ulteriori funzioni RAT.

Le diverse fasi saranno probabilmente ospitate separatamente senza infrastrutture sovrapposte. Il caricatore può anche avere callback di backup del primo stadio o Fallback Channels nel caso in cui il percorso di comunicazione originale del primo stadio venga scoperto e bloccato.

Login
ID: T1104
Sub-techniques:  No sub-techniques
Platforms: Linux, Windows, macOS
Requires Network:  Yes
Version: 1.0
Created: 31 May 2017
Last Modified: 14 July 2020
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
G0022 APT3

An APT3 downloader first establishes a SOCKS5 connection to 192.157.198[.]103 using TCP port 1913; once the server response is verified, it then requests a connection to 192.184.60[.]229 on TCP port 81.[1]

G0096 APT41

APT41 used the storescyncsvc.dll BEACON backdoor to download a secondary backdoor.[2]

S0031 BACKSPACE

BACKSPACE attempts to avoid detection by checking a first stage command and control server to determine if it should connect to the second stage server, which performs "louder" interactions with the malware.[3]

S0534 Bazar

The Bazar loader is used to download and execute the Bazar backdoor.[4][5]

S0069 BLACKCOFFEE

BLACKCOFFEE uses Microsoft’s TechNet Web portal to obtain an encoded tag containing the IP address of a command and control server and then communicates separately with that IP address for C2. If the C2 server is discovered or shut down, the threat actors can update the encoded IP address on TechNet to maintain control of the victims’ machines.[6]

S0220 Chaos

After initial compromise, Chaos will download a second stage to establish a more permanent presence on the affected system.[7]

G0069 MuddyWater

MuddyWater has used one C2 to obtain enumeration scripts and monitor web logs, but a different C2 to send data back.[8]

S0476 Valak

Valak can download additional modules and malware capable of using separate C2 channels.[9]

Mitigations

ID Mitigation Description
M1031 Network Intrusion Prevention

Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level.

Detection

ID Data Source Data Component
DS0029 Network Traffic Network Connection Creation
Network Traffic Flow

Host data that can relate unknown or suspicious process activity using a network connection is important to supplement any existing indicators of compromise based on malware command and control signatures and infrastructure. Relating subsequent actions that may result from Discovery of the system and network information or Lateral Movement to the originating process may also yield useful data.

Hostdaten, die unbekannte oder verdächtige Prozessaktivitäten mit einer Netzwerkverbindung in Verbindung bringen können, sind wichtig, um vorhandene Indikatoren für eine Kompromittierung auf der Grundlage von Malware-Befehls- und Kontrollsignaturen und Infrastruktur zu ergänzen. Auch die Zuordnung nachfolgender Aktionen, die sich aus der Entdeckung von System- und Netzwerkinformationen oder Lateral Movement ergeben, zu dem ursprünglichen Prozess kann nützliche Daten liefern.

Les données sur l'hôte qui peuvent relier l'activité de processus inconnus ou suspects utilisant une connexion réseau sont importantes pour compléter tout indicateur de compromission existant basé sur les signatures et l'infrastructure de commande et de contrôle des logiciels malveillants. Relier les actions subséquentes qui peuvent résulter de la découverte des informations du système et du réseau ou du mouvement latéral au processus d'origine peut également fournir des données utiles.

I dati sull'host che possono mettere in relazione attività di processi sconosciuti o sospetti che utilizzano una connessione di rete sono importanti per integrare qualsiasi indicatore esistente di compromissione basato su firme e infrastruttura di comando e controllo del malware. Anche mettere in relazione le azioni successive che possono risultare da Scoperta del sistema e informazioni di rete o Movimento Laterale al processo originario può produrre dati utili.

References