Сокрытие инфраструктуры

Злоумышленники могут манипулировать сетевым трафиком, чтобы скрыть и избежать обнаружения своей инфраструктуры C2. Это может быть достигнуто путем идентификации и фильтрации трафика от защитных инструментов, маскировки вредоносных доменов для обфускации истинного назначения от автоматизированных инструментов сканирования и исследователей безопасности, и иного сокрытия вредоносных артефактов для задержки обнаружения и продления эффективности инфраструктуры злоумышленника, которая в противном случае могла бы быть идентифицирована, заблокирована или полностью удалена. Сети C2 могут включать использование Прокси или VPN для маскировки IP-адресов, что может позволить злоумышленникам сливаться с обычным сетевым трафиком и обходить политики условного доступа или защиту от злоупотреблений. Например, злоумышленник может использовать частное виртуальное облако для подмены своего IP-адреса, чтобы лучше согласоваться с диапазонами IP-адресов жертвы. Это также может обойти меры безопасности, полагающиеся на геолокацию исходного IP-адреса. Злоумышленники также могут пытаться фильтровать сетевой трафик, чтобы избежать защитных инструментов многочисленными способами, включая блокировку/перенаправление распространенных пользовательских агентов реагирующих на инциденты или устройств безопасности. Фильтрация трафика на основе IP и гео-ограждения также может избежать автоматизированной песочницы или активности исследователей (т.е. Уклонение от виртуализации/песочницы). Сокрытие инфраструктуры C2 также может поддерживаться действиями Подготовки ресурсов, такими как Приобретение инфраструктуры и Компрометация инфраструктуры. Например, использование широко доверенных служб хостинга или доменов, таких как известные провайдеры сокращения URL или маркетинговые службы для сетей C2, может позволить злоумышленникам представлять безвредный контент, который позже перенаправляет жертв на вредоносные веб-страницы или инфраструктуру после выполнения определенных условий.