AWS X-Rayを悪用した新たなC2フレームワーク「XRayC2」

レッドチームの研究者たちは、Amazon Web Services (AWS) の分散アプリケーション追跡サービスであるX-Rayを悪用し、隠密な通信チャネルを確立する洗練されたコマンド＆コントロール（C2）フレームワーク「XRayC2」を発表しました。この革新的な手法は、攻撃者が正規のクラウド監視インフラを悪用して、従来のネットワークセキュリティ制御を回避できることを示しています。

クラウドインフラを悪用したステルス作戦

XRayC2ツールキットは、AWS X-Rayをパフォーマンス監視ツールから、悪意のある活動のための双方向通信プラットフォームへと変貌させます。従来のC2インフラは攻撃者が制御するサーバーに依存しており、疑わしいドメイン、未知のIPアドレス、異常なネットワークパターン、証明書の異常など、多くの検出機会を生み出していました。

XRayC2は、AWS X-Rayの正規のクラウドインフラを活用することで、悪意のあるトラフィックを通常のアプリケーション監視データと混在させることができます。この技術は、X-Rayのアノテーション機能を利用しており、任意のキーバリューデータを保存し、標準APIを通じて書き込みおよびクエリが可能です。すべての通信はxray.[region].amazonaws.comのような正規のAWSドメインを経由するため、検出が著しく困難になります。

XRayC2フレームワークの動作

XRayC2フレームワークは、洗練された3段階の通信プロセスを通じて動作します。

• 初期ビーコンフェーズ：侵害されたシステムは、サービスタイプマーカー、一意のインプラント識別子、オペレーティングシステム詳細を含むエンコードされたトレースセグメントを送信することで、その存在を確立します。
• コマンド配信フェーズ：攻撃者は、X-Rayアノテーション内にBase64エンコードされたコマンドを埋め込み、インプラントは定期的なポーリング間隔でこれらを取得します。
• 最終的なデータ流出フェーズ：侵害されたシステムは、トレースセグメント内にエンコードされた出力データを通じて、コマンド実行結果を返します。

このシステムは、30〜60秒のランダムなビーコン間隔を実装し、HMAC-SHA256署名による正規のAWS SigV4認証を使用します。これにより、標準のネットワークログにシームレスに統合される本物のAWS APIトラフィックが生成され、検出が極めて困難になります。

XRayC2のセットアップと機能

XRayC2のセットアップには、特定のX-Ray権限を持つ専用のAWS Identity and Access Management (IAM) ユーザーの作成が必要です。オペレーターは、「AWSXRayDaemonWriteAccess」ポリシーと、すべてのリソースに対する「PutTraceSegments」、「GetTraceSummaries」、「BatchGetTraces」アクションを許可するカスタム権限をアタッチする必要があります。

このツールキットは、macOS、Linux、Windows実行可能ファイルを含む複数のプラットフォーム向けにゼロ依存のインプラントを生成します。これらのスタンドアロンインプラントは追加のソフトウェアインストールを必要とせず、展開が簡単です。コントローラーインターフェースは、アクティブなシステムのリスト表示、ターゲットの選択、コマンドの送信、詳細なインプラント情報の表示など、包括的なインプラント管理機能を提供します。

結論とセキュリティへの影響

一度展開されると、オペレーターはAWS X-Rayインフラを通じて永続的なアクセスを維持しながら、システムコマンドをリモートで実行できます。このフレームワークの設計は、従来のC2手法が迅速に検出されるような厳重に監視された環境でも、信頼性の高い通信を保証します。

この進展は、正規のクラウドサービスを悪用する攻撃手法の継続的な進化を浮き彫りにしており、組織がネットワークトラフィックパターンだけでなく、クラウドサービスAPIコールの内容とコンテキストも調査する包括的な監視戦略を実装する必要性を強調しています。

---

元記事: https://gbhackers.com/hackers-turn-aws-x-ray-into-command-and-control-platform/