Whispers Through the Firewall: Data Exfiltration and C2 with Port Knocking
Port knocking を用いたレッドチームの技術を学びましょう。オープンソースの「Saucepot C2」を用いながら Port knocking を用いた隠蔽通信、ファイル送信、双方向C2操作などを体験し、実践的なレッドチーム活動に役立つ知識を習得します。
Workshop Outline
-
タイトル
Whispers Through the Firewall: Data Exfiltration and C2 with Port Knocking
-
日時
Nov. 18th 10:00-17:30
-
イベントスケジュール
TBA
-
会場
ROOM 1
-
登録
CODE BLUE参加者であれば誰でも参加可能です
-
主催
Hubert Lin
-
概要
ポートノッキングは、クライアントがサーバーの閉じられたポートに対して特定の接続試行シーケンス(「ノック」)を送信する、ステルス性の高いネットワーク認証手法(T1205.001)です。正しいシーケンスを受信すると、サーバーは動的にポートを開くか、アクションをトリガーすることで、アクセスや通信を隠蔽します。Saucepot C2は、ポートノッキング手法を新たなレベルに引き上げます。TCPセッションの宛先ポート(DstPorts)をノックシーケンスとして使用する代わりに、送信元ポート(SrcPorts)(別名エフェメラルポート)を活用します。このアプローチにより、ポート443など、単一の送信ポートのみが許可されているような、非常に制限の厳しいファイアウォール環境でも、データの窃取が可能になります。
このワークショップでは、参加者はSaucepot C2を以下のMITRE ATT&CK手法と組み合わせて、特定のレッドチーム活動を実施します。テクニック ID テクニック名 戦術 T1041 C2チャネル経由のファイル流出 ファイル流出 T1071.001 アプリケーション層プロトコル: Web コマンドアンドコントロール T1205.001 トラフィックシグナリング: ポートノッキング コマンドアンドコントロール/防御回避
Saucepot C2は、 https://github.com/netskopeoss/saucepotでオープンソース化されています。
Saucepot C2でサポートされているコマンドまたは機能は次のとおりです。
- チェックイン/ハートビート
- ディレクトリ一覧
- プロセス一覧
- ファイルアップロード
ワークショップ演習:
演習1: 従来のポートノッキング
演習2: エフェメラルポートチェッカー
演習3: データ流出
演習4: コマンドアンドコントロール操作
演習5: L4およびL7における異常の観測 -