¿Cómo cazarías el beaconing C2 en la telemetría de red?
Respuesta breve
El beaconing C2 es el check-in periódico que un implante hace a su controlador. Cázalo en la telemetría de red/proxy/DNS buscando regularidad: conexiones a un destino a intervalos casi fijos (incluso con jitter), solicitudes pequeñas y uniformes, ratios bajos de datos-entrantes / datos-salientes, destinos raros de larga duración y huellas TLS/JA3 sospechosas o user-agents extraños. La señal es el ritmo y la rareza del destino, no el payload — que suele estar cifrado.
Una vez que un atacante deja caer un implante, este necesita llamar a casa para recibir instrucciones. Ese check-in recurrente — el beaconing — tiene un ritmo, y el ritmo es detectable incluso cuando el tráfico en sí está cifrado.
Detectar el patrón, no el payload
El C2 moderno viaja sobre HTTPS, DNS u otros protocolos comunes y cifra su contenido, así que la inspección profunda del payload suele fallar. Caza el comportamiento en su lugar.
Características que delatan un beacon
- Regularidad de intervalo — conexiones al mismo destino a intervalos casi constantes (cada 60 s, cada hora). Grafica las diferencias de tiempo; una distribución ajustada grita automatización.
- Jitter — los atacantes aleatorizan el intervalo para vencer las comprobaciones ingenuas de periodicidad. Tenlo en cuenta: incluso los beacons con jitter se agrupan en torno a una media mucho más ajustada que la navegación humana.
- Ratios y tamaños de datos — solicitudes pequeñas y uniformes con ratios bajos de datos-entrantes / datos-salientes sugieren polling, no uso humano.
- Rareza y antigüedad del destino — un host que solo una o dos máquinas internas contactan, dominios registrados recientemente, o IP de proveedores de hosting.
- Huellas — las huellas TLS JA3/JA3S y user-agents extraños o codificados en duro pueden coincidir con frameworks conocidos como Cobalt Strike.
Juntándolo todo
Ninguna característica por sí sola es concluyente — la detección de beaconing las apila. Agrega por par origen/destino sobre una ventana, puntúa según regularidad más rareza más ratio, y haz aflorar los mejores candidatos para revisión de un analista. Los patrones confirmados se convierten en detecciones mapeadas a T1071/TA0011.
Por qué importa
Los entrevistadores senior quieren oír « detecto el ritmo y la rareza, no el payload », además de conciencia sobre el jitter y el fingerprinting. Los candidatos que recurren a la inspección del payload de un C2 cifrado revelan una carencia.
Posibles preguntas de seguimiento
- ¿Qué es el jitter y cómo lo usan los atacantes para evadir la detección de beacons?
- ¿Cómo ayuda una huella JA3 a detectar un framework C2 conocido?
- ¿Por qué el ratio datos-entrantes / datos-salientes es una característica útil para el beaconing?