攻击者需要与失陷主机进行某种形式的通信，这种通信行为被称为 C&C。无论用何种手段，失陷主机会进行回连操作。本文描述了一种基于连接元数据与通信信息检测流行的攻击框架的方法，该技术可以在多源日志中使用。

许多攻击框架使用 Beacon

如 Cobalt Strike、PoshC2 和 Empire 之类的攻击框架以及一些在野恶意软件，经常会向 C&C 服务器发出请求检查是否存在新命令或者将结果回传。在 Cobalt Strike 中这叫做 Beacon，但在很多类似的框架中概念大概差不多。本文中，Beacon 是恶意软件回传的统称。曾经通过指纹识别技术，发现一个月内有超过一千个 Cobalt Strike 服务器被多个攻击者使用，业界也开始关心这一点。

尽管每个工具的底层代码都略有不同，但通常由两个部分组成以建立连接模式：sleep（睡眠） 与 jitter（抖动）。Sleep 组件控制 Beacon 在再次请求前必须睡眠多长时间，Jitter 会改变睡眠时间，从而显示出随机性。例如，60 秒的睡眠时间与 10% 的抖动设定将会导致 54 秒到 66 秒之间的随机睡眠时间（PoshC2 与 Empire）或 54 秒到 60 秒的随机睡眠时间（Cobalt Strike），请注意计算上的细微差别。这种抖动会削弱模式，但不会完全破坏模式。由于睡眠函数均匀分布，所以抖动是对称的。这一点有利于进行检测！

检测 Beacon

通常来说很多恶意行为都可以靠静态签名进行检测，但是 Beacon 并不属于这种情况。大多数框架都可以根据需要进行定制，这事得很难编写可靠的签名。但是其模式变化不大，因此，可以使用一种基于异常的办法将看似不存在模式的连接实时检测出来。我们鼓励其他蓝队/防守者也进行相同的研究与测试。

由于连接的平均值和中位数或多或少是恒定的，因此可以查找连续连接之间的时间始终保持在一定范围内的连接。常规流量一般不遵循这种流量，例如会建立一些快速连续连接，然后暂停了很长时间，随后又进行了一些交互连接。使用更大的检测范围将会监测到抖动范围更大的连接，但会有更多的合法流量落在该范围内，误报多少与抖动范围之间存在明显的关系。

为了跟踪连接模式，我们为流量创建了连接对。例如，连接到某个主机的 IP 可以表示为 `10.0.0.1-> somerandomhost.com`。对网络中的所有连接都创建该连接对，但我们将会深入探讨一对连接。

上图显示了 `10.0.0.1-> somerandomhost.com` 连接对的 Beacon 模拟，睡眠时间为 1 秒，抖动范围为 20%（0.8 到 1.2 秒之间），模型设置为检测最高 25% 的抖动。因为所有的连接都保持在上下限范围内，模型遵循 Beacon 的预期时序。通常来说，在该范围内驻留的连接数越多是 Beacon 的模式可能也就越大。当 Beacon 抖动范围设置为 50% 时，模型的范围为 25% 时，仍然可以预期会有一半的 Beacon 落在模型检测的范围内。

即使 Beacon 的配置发生了变化，模型也可以捕获。上图显示了从 1 秒到 2 秒的睡眠时间的变化，同时维持了 10% 的 Beacon。更改后会有一小段时间连接值超过检测范围，但是经过几次连接后，模型就可以捕获了。

此方法可以适用于要跟踪的任何连接对，包括 IP、HTTP、DNS 请求，由于该方法仅适用于元数据，这也将帮助用户寻找以域名为中心的 Beacon。

牢记误报

尽管大多数常规流量不会遵循固定的模式，但是这种方法可能会存在一些误报。用于计时器的每个连接都会产生与 Beacon 完全相同的模式，Windows 遥测、软件更新和自定义更新脚本都属于此类连接。因此，在使用此方法进行检测报警前，需要进行一些基准测试。

结论

狩猎 Beacon 被证明是一个需要被重视的行为，现实情况证明了这种方法的有效性。根据网络日志的大小不同，该方法简单到可能在一小时内处理完一个月的日志量。即使未发现恶意程序的结果，通常也有其他程序在特定的时间间隔内有类似的模式也值得进行研究、删除。虽然此方法在攻击者设置 100% 抖动范围时不起作用，但部分检测也是一种胜利！

参考来源

Fox-IT