コマンド&コントロールは、現代の攻撃において極めて重要な役割を果たしています。攻撃者がシステムへのアクセス権を獲得すると、そのシステムを制御する手段が必要となります。この制御は、侵害された資産が攻撃者のインフラに接続し、指示を受け取り、それを実行することに依存しています。コマンド&コントロール(C2)は、攻撃を開始から影響が及ぶまで継続させるための仕組みです。
だからこそ、指揮統制の回避がこれほど重要になるのです。
現代のC2フレームワークは、明らかに悪意のあるペイロードを運ぶ単なる暗号化チャネルではありません。それらは、通信そのものがごく普通のもの――つまり、通常のウェブサイトへのトラフィックのように――見えるように設計されています。一般的なWebサービスに見せかけるように構成された「マレラブル・プロファイル」は、復号化されても攻撃者の意図を露呈しません。トラフィックは依然として日常的なものに見え、ペイロードは依然として曖昧なままです。コールバックも、依然として通常のアプリケーションの動作と見分けがつかないほどです。
だからこそ、現代の攻撃者を特定し阻止するために、復号化だけでは不十分なのです。
復号化は、防御側がトラフィックを読み取ることができれば脅威を特定できるという前提に基づいています。しかし、この前提は現代のC2通信に対しては通用しません。復号化されても、「これは攻撃者の制御下にある」と示す明確なシグネチャが存在しないことが多々あります。明白なコマンドも、明確なペイロードマーカーもなく、セッションのどの時点においても、そのトラフィックが自身を悪意のあるものとして特定する明確な兆候は見当たりません。攻撃者は、トラフィックを隠蔽する必要はありません。攻撃者が求めているのは、脅威と見なされないようにすることだけなのです。
そこが根本的な問題です。復号化によって内容は明らかになりますが、現代のC2システムは、その内容から信頼性の高い検知信号が得られないように設計されているのです。
ドメインの評判も、この問題を解決するものではありません。
攻撃者は、信頼性の高いドメインを再利用したり、実績のあるインフラを活用したり、あるいは膨大な量の正当なアプリケーション活動の中にトラフィックを紛れ込ませることができるパブリッククラウド環境から活動したりするケースが増えています。ドメインのアクセスはノイズの多いシグナルであり、企業内では毎日数十もの新しい外部サイトへのアクセスが発生している可能性があります。ビジネスがクラウドIPアドレス空間に依存しているため、これを信頼せざるを得ない場合が多くあります。その結果、宛先ベースの信頼性は、もはやコマンド&コントロール(C&C)を特定するための信頼できる手段ではなくなっています。
現代のC2回避攻撃は、これら2つの前提を同時に覆すものである。
信頼できるペイロードの署名がないため、復号化が機能しません。
信頼できる宛先信号がないため、レピュテーションは機能しません。
C2回避の手口がいかに高度化しているか
フレームワークは、暗号化やレピュテーション対策を超えた回避手法へと進化を遂げています。
ネットワーク監視ツールの中には、コマンドや制御のコールバックの定期性、例えばビーコン信号に注目するものもあります。侵害されたシステムは予測可能な間隔でホームサーバーに通信を行い、特定可能なリズムを生み出します。このリズムは有用な手がかりとなります。なぜなら、継続的な制御は反復を生み、反復は特徴的なパターンとなるからです。
しかし、このアプローチには2つの弱点がある。
ビーコン自体は、EDRのチェックインや株価ティッカーの更新など、多くの無害なツールを駆動しています。すべてのビーコンをトリガー対象にすると、企業内では1日あたり数百件ものアラートが発生する可能性があります。しかし、「レアリティ」といった手法を用いても、ノイズを部分的にしか低減できません。これは、宛先の希少性に加え、攻撃者がパブリックIPアドレス空間を使用することで脅威のシグナルが抑圧される可能性があるためです。
第二に、現代の攻撃フレームワークは、この一貫したシグナルを直接難読化しており、ビーコンのみを検知するツールを完全に回避している。
攻撃ツールはコールバックのタイミングを変化させます。一定期間、コールバックを無効化します。これにより、防御側が従来頼りにしてきた一貫性を損なう一方で、攻撃者が制御を維持する能力は保たれます。
Sliverフレームワークは、その回避手法がタイミングジッターに限定されないという点で、高度な回避技術の好例です。このフレームワークは、多層的なURIローテーションなどの仕組みを通じて積極的なデータジッターを適用するほか、Sliverのエンコーダー群からランダムにエンコーダーを選択して送信データの外観を変更することで、コールバック間のバイト数の一貫性を崩します。 こうした回避策がオプションとなっている多くのフレームワークとは対照的に、Sliverのデータジッターは常に有効化されており、単純なビーコンベースの仮定を破るのに十分な多層構造を備えています。
これは重要な点である。なぜなら、ペイロードの可視性や宛先の信頼性がすでに損なわれた後でも、防御側が依然として利用できた数少ない明確な指標の一つが、これで排除されることになるからだ。
かつては、頻繁なコールバックや決まったタイミング、あるいは繰り返されるセッションのパターンを探すといった、より単純な検知手法が用いられていました。しかし、現代のC2は、まさにそうした前提を覆すように設計されています。残されているのは、明確なビーコンのシグネチャではありません。それは、時間の経過とともに初めて明らかになる、はるかに弱く、より巧妙な制御のパターンなのです。
しかし、こうしたごまかしがいくらあっても、一つだけ変わらないことがある。
攻撃者がシステムを制御できるようにするため、C2チャネルは依然として存在しています。つまり、侵害されたシステムは、指示を受け取り、制御を維持するために、引き続き外部への接続を試みなければなりません。感染した資産は、攻撃者が制御するサーバーへの通信を開始します。
攻撃者は自らの活動の痕跡を隠すことはできても、制御の必要性や、その制御によって生じる特有の痕跡を完全に消し去ることはできない。
重要なシグナル
現代のC2において最も有力な兆候は、ペイロードやドメイン、あるいは単一の不審な通信フローではありません。
これは、時間の経過とともに現れる制御の統計的な行動パターンである。
コマンド&コントロールが使用される場合、通常のトラフィックとは微妙に制御の向きが逆転します。これは、ペイロードが曖昧であったり、宛先が信頼できそうに見えたり、コールバックのタイミングが大幅に操作されていたりする場合でも変わりません。
その兆候は肉眼では確認できません。単一のパケットやトランザクションからは現れません。それは、コールバックイベントやフロー全体にわたり現れます。それは、誰が通信を開始しているか、その通信がどのように展開するか、そして攻撃者が攻撃の形態を変えても制御パターンがどのように維持されるか、といった関係性の中に現れるのです。
だからこそ、現代のC2検知は検査の問題ではなく、モデリングの問題なのです。
課題は、より多くのトラフィックを復号することではありません。真の課題は、暗号化や一見無害に見えるプロファイル、信頼できるインフラ、パブリッククラウドのホスティング、コールバックのランダム化、そして沈黙といった障壁を乗り越えてもなお残る、支配の根本的なパターンを特定することにあります。
Vectra AIがAIの課題をどのように解決するか
Vectra AIは、そのより深層にある制御の兆候を検知するように設計されています。
当社は、攻撃者の意図を解明するために復号化に依存しません。また、宛先が不正であると判断するためにドメインのレピュテーションに依存することもありません。さらに、ビーコンの送信間隔に関する画一的な基準のみに依存することもありません。その代わりに、Vectra AIは、攻撃者が通信経路をどのように偽装しようとも、時間をかけて持続するコマンド&コントロール(C&C)の行動指標に焦点を当てています。
そのためには、適切なモデリング手法が必要となります。
この微細な信号を検知するため、Vectra AIはLSTMと自己注意層を組み合わせたコンパクトなシーケンスモデルを構築し、顧客環境に導入しています。この設計は、最新の言語モデルで広く普及している「アテンション」という有用なメカニズムを取り入れつつも、アーキテクチャを時系列ネットワークの挙動に特化させ、センサーに直接導入できるほどコンパクトに保っています。
このモデルは2段階に分けて学習されました。まず、手動でラベル付けされた例に完全に依存することなく、通常の通信の基本的な構造を理解できるよう、大量のラベルなしネットワークテレメトリデータから学習を行いました。この事前学習の段階により、モデルは正常なトラフィックが時間とともにどのように振る舞うかについての表現を構築することができました。 その後、自動化された攻撃ラボのインフラストラクチャを使用して生成された悪意のあるC2サンプルや、利用可能なツールやカスタムC2フレームワークの設定およびプロファイル空間を網羅する実世界のサンプルを、正常なトラフィックサンプルと組み合わせて微調整を行いました。これにより、攻撃者がタイミングをランダム化したり、ペイロードサイズを変えたり、URIをローテーションさせたり、あるいはその他の方法で明らかなビーコンのシグネチャを隠蔽しようとした場合でも、残存する微妙な制御パターンを識別できるようになりました。
パラメータ数は600万以上ですが、小規模なBERTベースラインの約1億1000万と比較しても、このモデルはエアギャップ環境を含む顧客環境でも実行できるほどコンパクトでありながら、より広範囲にわたる行動構造を捉えることができます。
これが重要なのは、C2通信の検出を成功させるには、ペイロード内の静的な指標を見つけたり、不審な宛先を特定したりすることだけでは不十分だからです。重要なのは、そうした回避策の下に潜む制御の行動パターンを認識することです。
Vectra AIは、復号に依存することなく、宛先のレピュテーションに頼ることなく、また現代の攻撃者が意図的に弱体化させた従来のビーコン信号のみに依存することなく、最新のC2通信を検知します。
このアプローチの有効性は、最終的に当社の顧客基盤全体での実証によって裏付けられています。このアプローチにより、数え切れないほどの実際の攻撃が発見され、他のツールではこうした回避策によって検出できなかったレッドチーム活動についても警告が発せられました。しかも、重要な情報を埋もれさせてしまうような過剰なノイズを発生させることなく、これらを実現しています。
そして、それは物語の一部に過ぎない。
攻撃はC2チャネルで終わることはありません。コマンド&コントロール(C2)は、その後の段階、すなわち偵察、横方向の移動、権限昇格、持続化、データへのアクセスと流出、そしてクラウド上の活動などを可能にします。Vectra AIは、この行動ベースのAI駆動型アプローチをこうした行動全般に拡張し、攻撃手法、ネットワーク、ID、クラウドを横断してシグナルを相関分析することで、実際の攻撃を検知し、阻止します。
VectraのSilver C2について詳しく知りたい方は、こちらの詳細解説をご覧ください:
環境内の暗号化された脅威の阻止を開始するには、デモをご請求ください。