Comment chasseriez-vous le beaconing C2 dans la télémétrie réseau ?
Réponse courte
Le beaconing C2 est le check-in périodique qu'un implant effectue auprès de son contrôleur. Chassez-le dans la télémétrie réseau/proxy/DNS en cherchant la régularité : connexions vers une destination à intervalles quasi fixes (même avec du jitter), petites requêtes uniformes, faibles ratios données-entrantes / données-sortantes, destinations rares de longue durée, et empreintes TLS/JA3 suspectes ou user-agents étranges. Le signal est le rythme et la rareté de la destination, pas le payload — qui est généralement chiffré.
Une fois qu'un attaquant a déposé un implant, celui-ci doit appeler sa base pour recevoir des instructions. Ce check-in récurrent — le beaconing — possède un rythme, et le rythme est détectable même lorsque le trafic lui-même est chiffré.
Détecter le motif, pas le payload
Le C2 moderne emprunte HTTPS, DNS ou d'autres protocoles courants et chiffre son contenu ; l'inspection profonde du payload échoue donc généralement. Chassez plutôt le comportement.
Caractéristiques qui trahissent un beacon
- Régularité d'intervalle — connexions vers la même destination à intervalles quasi constants (toutes les 60 s, toutes les heures). Tracez les écarts temporels ; une distribution serrée hurle l'automatisation.
- Jitter — les attaquants randomisent l'intervalle pour déjouer les contrôles naïfs de périodicité. Tenez-en compte : même des beacons avec jitter se regroupent autour d'une moyenne bien plus serrée que la navigation humaine.
- Ratios et tailles de données — des requêtes petites et uniformes avec de faibles ratios données-entrantes / données-sortantes suggèrent du polling, pas un usage humain.
- Rareté et ancienneté de la destination — un hôte que seules une ou deux machines internes contactent, des domaines récemment enregistrés, ou des IP d'hébergeurs.
- Empreintes — les empreintes TLS JA3/JA3S et des user-agents étranges ou codés en dur peuvent correspondre à des frameworks connus comme Cobalt Strike.
Assembler le tout
Aucune caractéristique seule n'est concluante — la détection de beaconing les empile. Agrégez par paire source/destination sur une fenêtre, scorez sur la régularité plus la rareté plus le ratio, et faites remonter les meilleurs candidats pour examen par un analyste. Les motifs confirmés deviennent des détections mappées sur T1071/TA0011.
Pourquoi c'est important
Les recruteurs seniors veulent entendre « je détecte le rythme et la rareté, pas le payload », ainsi qu'une conscience du jitter et du fingerprinting. Les candidats qui se tournent vers l'inspection du payload de C2 chiffré révèlent une lacune.
Questions de suivi probables
- Qu'est-ce que le jitter, et comment les attaquants l'utilisent-ils pour échapper à la détection de beacons ?
- Comment une empreinte JA3 aide-t-elle à repérer un framework C2 connu ?
- Pourquoi le ratio données-entrantes / données-sortantes est-il une caractéristique utile pour le beaconing ?