Quels sont les signes du beaconing de commande et contrôle, et comment extraire les indicateurs C2 d'un échantillon ?
Réponse courte
Le beaconing de commande et contrôle, c'est l'implant qui appelle périodiquement la maison pour des instructions. On le reconnaît à des rappels sortants réguliers et de faible volume à intervalle à peu près fixe — souvent avec du jitter pour éviter de paraître mécanique — vers un petit ensemble de destinations, fréquemment via HTTP/HTTPS ou DNS avec des charges utiles encodées ou chiffrées et un User-Agent ou un motif d'URI distinctif. On extrait les indicateurs statiquement en tirant domaines, IP, URI et clés des chaînes et blocs de config, et dynamiquement en détonant l'échantillon contre un réseau factice et en capturant les vrais rappels, puis on associe le comportement à ATT&CK et on alimente les IOC dans la détection.
Une fois qu'un malware a pris pied, il a généralement besoin d'appeler la maison pour des instructions et pour exfiltrer des données. Ce canal est le commande et contrôle (C2), et le check-in périodique est le beaconing. Les recruteurs posent cette question parce que reconnaître le motif et extraire les indicateurs est le pont entre l'analyse et une détection et réponse exploitables.
À quoi ressemble le beaconing
Un beacon est du trafic périodique, de faible volume, sortant vers un petit ensemble de destinations. Les indices :
- Cadence régulière. Des rappels à intervalle à peu près fixe (toutes les 30 s, toutes les 5 min). Les implants matures ajoutent du jitter — randomisant l'intervalle d'un pourcentage — pour que le motif soit moins manifestement mécanique.
- Protocoles mimétiques. La plupart des C2 se cachent dans HTTP/HTTPS ou DNS pour ressembler à du trafic normal ; les charges utiles sont encodées ou chiffrées (base64, XOR personnalisé, TLS). Des User-Agent distinctifs, des chemins d'URI fixes ou des motifs de requêtes DNS inhabituels le trahissent.
- Asymétrie. De petites requêtes fréquentes avec des réponses occasionnellement plus grandes (ordres) ou de gros envois (exfiltration).
Extraire les indicateurs
- Statiquement, tirez domaines, IP, URI, ports et clés des chaînes et du bloc de config du malware. Quand ceux-ci sont chiffrés, localisez la routine de déchiffrement dans le désassembleur et décodez-les — ou posez un point d'arrêt sur l'appel de déchiffrement dans un débogueur.
- Dynamiquement, détonez contre un réseau factice (INetSim/FakeNet) et capturez avec Wireshark pour voir les vrais rappels, intervalles et format de requête sans toucher d'infrastructure réelle.
Pourquoi c'est important
Même sans déchiffrer la charge utile, la périodicité seule est un signal de détection réseau fort (des outils comme RITA et les analytiques basées sur Zeek la traquent). Le recruteur veut que vous reliez le comportement observé aux techniques ATT&CK (T1071, T1071.004) et aux IOC qui alimentent pare-feu, EDR et threat intel — transformant un seul échantillon analysé en défense sur tout le parc.
Questions de suivi probables
- Qu'est-ce que le jitter et pourquoi les implants l'ajoutent-ils à leur intervalle de rappel ?
- Comment trouveriez-vous un domaine C2 codé en dur mais chiffré dans le binaire ?
- Pourquoi la périodicité d'un beacon est-elle un signal de détection réseau utile même sans déchiffrer la charge utile ?