Eksamensprojekt: Analyse af Badbox og C2 Netværkstrafik

I mit eksamensprojekt på forrige semester foretog jeg en dybdegående analyse af Badbox-angrebet. Angrebet udsprang fra en global forsyningskædesårbarhed (supply chain attack), hvor millioner af Android/IoT enheder blev præ-installeret (shipped) med hardcoded malware direkte fra fabrikken. Disse inficerede maskiner var derved “født” ind i et enormt botnet.

Som en del af projektet besluttede jeg mig for at genskabe dele af angrebets kernekomponenter – særligt den Command & Control (C2) infrastruktur, som hackerne brugte bag kulisserne til at kontrollere botnettet i det skjulte.

Praktisk Opsætning og Laboratorium

For at kunne udføre og analysere et sådant angreb sikkert, byggede jeg et isoleret virtuelt sikkerhedslaboratorium opbygget i VMware Workstation Pro.

Laboratoriets Komponenter:

1. Windows 11 Eval VM (Mål): Jeg designede denne maskine som det sårbare offer (en simulering af de enheder, der blev leveret præ-inficerede). Jeg frakoblede Windows Defender fuldstændig via Group Policy og Registry redigeringer. På denne måde kunne jeg observere C2-klientens fulde virke uden at antivirus blandede sig og dræbte processen for tidligt.
2. Ubuntu Server VM (Angriber / C2 Server): Linux server som opererede som angriberens infrastruktur. Her installerede og konfigurerede jeg Sliver C2 (et kraftfuldt, Go-baseret open-source framework). Fra serveren genererede jeg et såkaldt “implant” eller “beacon”, målrettet mod Windows.
3. Kali Linux VM (Sammenligningsgrundlag): For at have et baseline, oprettede jeg yderligere en klassisk Kali maskine. Målet med denne var udelukkende at generere og afvikle den traditionelle (og oftest hurtigt opdagede) “Reverse Shell”. Her gemte jeg en payload inde i Windows Indbyggede Lommeregner (calc.exe).

Resultater: Sliver C2 versus Klassisk Reverse Shell

Efter at have inficeret min Windows 11 VM med både mit Sliver C2 implantat og min lommeregner Reverse Shell, overvågede jeg den udsendte netværkstrafik ud fra ofrets maskine ved hjælp af PCAP (Packet Capture) modtagelse i Wireshark.

1. Klassisk Reverse Shell Analyse

Da målmaskinen kørte lommeregneren og kastede reverseskellen tilbage til Kali, så jeg et meget typisk adfærdsmønster i Wireshark:

• Tydelig overførsel: Kommunikationen bestod ofte af klartekst over non-standard porte, eller meget gennemskuelige TCP datastrømme, hvor kommandoerne fra min Kali box (dir, whoami, ipconfig) nemt kunne aflæses direkte i pakkens payload-data.
• Konstant forbindelse: Der blev opretholdt en direkte og tæt-koblet netværksession, hvilket er utroligt “larmende” for et Intrusion Detection System (IDS).

2. Sliver C2 Beaconing Analyse (Badbox simulering)

Sammenlignet hermed var Sliver-trafikken ekstremt sofistikeret og viste præcis, hvorfor C2 frameworks er hackernes foretrukne våben – og hvorfor badbox angrebet forløb uset så længe:

• Stealth and Jitter: Min Windows maskine kommunikerede ikke hele tiden med Ubuntu serveren. I stedet “beaconede” den “hjem” med jævne, men pseudo-tilfældige intervaller (Kaldet “Jitter”). På grafen lignede dette bare en almindelig web-browser i baggrunden, der tjekker for notifikationer i perioder.
• TLS/mTLS Kryptering: I PCAP filerne var selve indholdet – kommandoerne der blev udstedt over C2, samt resultaterne returneret fra bot’en – 100% og totalt ulæseligt. Trafikken var pakket ind i sikre websockets / mTLS over standard port 443 (HTTPS), og blandede sig derved usynligt med de tusindvis af andre lovlige HTTPS forbindelser på maskinen.
• Process Injection: Sliver formåede aktivt at skjule sin proces og injicere det skadelige kode segmenteret ind i legitime Windows-processer, hvorfor den skadende adfærd af maskinens Task Manager blev knyttet til f.eks. svchost.exe i stedet for et decideret skummelt program.

Konklusion

Gennem dette eksamensprojekt opnåede jeg en stor og håndgribelig forståelse for asymmetrien mellem et let genkendeligt script-kiddie angreb, og de uhyre støjsvage og professionelle C2 strukturer, som Advanced Persistent Threats (APTs) benytter sig af. Det lærte mig frem for alt også en meget vigtig forsvarslektie: Uden TLS inspektion (Man-in-the-Middle) på virksomhedens udgående Firewall, er vi reelt blinde overfor moderne C2 trafik!