Как мы уже рассказывали в статье про фреймворк Mythic, злоумышленники активно берут на вооружение новые технологии и фреймворки. Одним из характерных примеров такого инструментария стал AdaptixC2 — относительно новый open-source-проект для постэксплуатации, который за короткое время привлек внимание профильного сообщества наступательной кибербезопасности. Интерес к нему объясняется не только доступностью исходного кода, но и широкими возможностями расширения: фреймворк поддерживает BOF-файлы, включая асинхронные, и вокруг него уже сформировалась отдельная экосистема модулей, расширений и внешних BOF-коллекций. При этом AdaptixC2 все чаще используется в реальных инцидентах, в том числе в APT-атаках и кампаниях с применением шифровальщиков, о чем мы регулярно рассказываем.

В AdaptixC2 для снижения вероятности обнаружения применяются различные механизмы сетевого взаимодействия и постэксплуатации, направленные на обход средств мониторинга трафика, таких как IDS, и решений класса NDR. Однако даже в подобных условиях сетевое детектирование нередко остается одним из наиболее результативных способов выявления присутствия агента и его активности. Одновременно с этим ряд стандартных техник постэксплуатации на хосте реализован таким образом, что обнаружить вредоносную активность по артефактам может быть затруднительно. В связи с этим необходим расширенный мониторинг действий в системе с использованием решения класса EDR. Также стоит отметить, что стандартных методов защиты может быть недостаточно.

В этой статье мы детально рассматриваем способы обнаружения фреймворка AdaptixC2 на основе его сетевого взаимодействия с управляющим сервером, а также детектирование постэксплуатационной активности на конечной точке.