Dentro de un ejercicio de Red Team, el Command and Control (C2) actúa como el engranaje principal dentro de la Cyber Kill Chain, ya que permite al adversario mantener el control sobre los sistemas comprometidos y, de esta manera, facilitar la obtención del control completo de la infraestructura de una organización.

Importancia

Un C2 permite desplegar un punto de control dentro de un ejercicio donde se prioriza el sigilo, de manera que crea el entorno clave de dominio sobre los defensores, dado que otorga un sistema de comunicación encubierta sobre los sistemas infectados. De esta manera, proporciona una serie de ventajas a un atacante, dado que permite efectuar comandos, exfiltrar datos sensibles y expandir su presencia por la red sin llegar a ser detectados.

Extrapolemos los puntos claves de un C2:

1. Persistencia, dado que permite mantener un control sobre los sistemas comprometidos a largo plazo.
2. Exfiltración, dado que permite extraer información de las redes víctimas sin llegar a ser detectado.
3. Pivoting, dado que permite realizar movimientos laterales para poder desplazarse y explotar sistemas de redes adyacentes.

Técnicas Implementadas

El objetivo de un C2 es mantener una comunicación continua y encubierta con los sistemas comprometidos por el Red Team. Con este objetivo en mente, implementan técnicas como las siguientes:

• Tunelización DNS: Permite la transmisión de datos a través de la encapsulación de los mismos mediante el protocolo DNS. Abusa de la confianza de la esencialidad del tráfico DNS en las redes corporativas, que generalmente suele estar permitido por los diferentes dispositivos de seguridad.
• C2 basado en HTTPS: Permite el establecimiento de la comunicación cifradas mediante HTTPS entre el atacante y el sistema comprometido. Con esta técnica se permite camuflar el tráfico malicioso del atacante con el tráfico web legítimo.
• Beaconing: Permite la comunicación mediante beacons a intervalos regulares o aleatorios, desde el sistema comprometido al C2. Normalmente se debe hacer una instalación de un implante malware en el sistema comprometido, pero la ventaja que tiene es que ayuda a evitar aquellos sistemas de seguridad más avanzados que se basan en una detección por patrones.
• C2 en Cloud: Permite la comunicación con el C2 mediante el uso de servicios cloud, como AWS, Drive, Dropbox, Azure, entre otros. La ventaja radica en que, si se ha detectado el uso de una de estas tecnologías durante la fase de reconocimiento, sería una buena aproximación utilizar está técnica para camuflar el tráfico malicioso como operaciones normales del usuario.
• C2 Satelital^[1]: Es una técnica donde se establece la comunicación entre el C2 y los sistemas comprometidos haciendo uso de enlaces satelitales. Este escenario requiere un alto nivel de sofisticación y recursos; sin embargo, proporciona un grado elevado de sigilo e indetectabilidad frente a los equipos de seguridad de las organizaciones. Este modelo tiene varias ventajas:
  • El tráfico C2 pasa a través de redes satelitales, evitando las rutas de internet convencionales. El rastreo de una dirección IP asociada a comunicaciones satelitales hacia una ubicación física resulta sumamente complejo de realizar.
  • Permite la simultaneidad en la unidireccionalidad y bidireccionalidad de la comunicación C2 según convenga. De este modo, reduce la posibilidad de ser detectado y facilita tanto el envío de comandos como la exfiltración de datos.
• P2P: Este modelo es interesante, dado que implica la generación de redes P2P entre los sistemas comprometidos para que se comuniquen directamente entre sí, de esta manera formando una red descentralizada. Esta técnica elimina la necesidad de un servidor C2 centralizado, aumentando la resiliencia de la red maliciosa.

Cuando hablamos del espacio, de comienzo suele sonar a ficción. Sin embargo, no estamos tan lejos como podemos pensar. Una nueva vertiente de pruebas de seguridad que esta floreciendo hoy en día es la tan conocida Pentest contra Satélites. Hoy en día, una sola persona puede diseñar, construir y lanzar un satélite respetando muy pocas normas y protocolos de seguridad.

Como ya sabemos, el error humano es bastante bien conocido en nuestro ámbito, lo que unido con la democratización del espacio que ha abierto una nueva frontera a empresas y entusiastas a la exploración y la innovación en el campo espacial, produce el nacimiento de un nuevo conjunto de vulnerabilidades específicas, que requieren de profesionales cualificados y especializados para su identificación.

¿Qué es el Pentesting Satelital?

En pocas palabras, es lo que comúnmente muchos ya conocemos como “pentest” pero extrapolado a los satélites. Por tanto, es un proceso de comprobación de la seguridad de los sistemas de comunicación por satélite, donde simulamos ataques contras los mismos, identificando potenciales vulnerabilidades y deficiencias que puedan ser explotadas para posteriormente reportarlas al cliente con sus respectivas medidas correctoras, permitiéndole mitigar los riesgos identificados.