Skip to content

¿Cómo cazarías el beaconing C2 en la telemetría de red?

Respuesta breve

El beaconing C2 es el check-in periódico que un implante hace a su controlador. Cázalo en la telemetría de red/proxy/DNS buscando regularidad: conexiones a un destino a intervalos casi fijos (incluso con jitter), solicitudes pequeñas y uniformes, ratios bajos de datos-entrantes / datos-salientes, destinos raros de larga duración y huellas TLS/JA3 sospechosas o user-agents extraños. La señal es el ritmo y la rareza del destino, no el payload — que suele estar cifrado.

Una vez que un atacante deja caer un implante, este necesita llamar a casa para recibir instrucciones. Ese check-in recurrente — el beaconing — tiene un ritmo, y el ritmo es detectable incluso cuando el tráfico en sí está cifrado.

Detectar el patrón, no el payload

El C2 moderno viaja sobre HTTPS, DNS u otros protocolos comunes y cifra su contenido, así que la inspección profunda del payload suele fallar. Caza el comportamiento en su lugar.

Características que delatan un beacon

  • Regularidad de intervalo — conexiones al mismo destino a intervalos casi constantes (cada 60 s, cada hora). Grafica las diferencias de tiempo; una distribución ajustada grita automatización.
  • Jitter — los atacantes aleatorizan el intervalo para vencer las comprobaciones ingenuas de periodicidad. Tenlo en cuenta: incluso los beacons con jitter se agrupan en torno a una media mucho más ajustada que la navegación humana.
  • Ratios y tamaños de datos — solicitudes pequeñas y uniformes con ratios bajos de datos-entrantes / datos-salientes sugieren polling, no uso humano.
  • Rareza y antigüedad del destino — un host que solo una o dos máquinas internas contactan, dominios registrados recientemente, o IP de proveedores de hosting.
  • Huellas — las huellas TLS JA3/JA3S y user-agents extraños o codificados en duro pueden coincidir con frameworks conocidos como Cobalt Strike.

Juntándolo todo

Ninguna característica por sí sola es concluyente — la detección de beaconing las apila. Agrega por par origen/destino sobre una ventana, puntúa según regularidad más rareza más ratio, y haz aflorar los mejores candidatos para revisión de un analista. Los patrones confirmados se convierten en detecciones mapeadas a T1071/TA0011.

Por qué importa

Los entrevistadores senior quieren oír « detecto el ritmo y la rareza, no el payload », además de conciencia sobre el jitter y el fingerprinting. Los candidatos que recurren a la inspección del payload de un C2 cifrado revelan una carencia.

Posibles preguntas de seguimiento

  • ¿Qué es el jitter y cómo lo usan los atacantes para evadir la detección de beacons?
  • ¿Cómo ayuda una huella JA3 a detectar un framework C2 conocido?
  • ¿Por qué el ratio datos-entrantes / datos-salientes es una característica útil para el beaconing?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.