Beacon (Implant C2)

Un beacon (en français "balise") est un type d'implant de post-exploitation conçu pour la furtivité long-terme : au lieu de maintenir une connexion permanente avec le serveur C2 (interactive shell, facile à détecter), il contacte le C2 à intervalles réguliers (de quelques secondes à plusieurs heures) pour récupérer les commandes en attente et envoyer les résultats des précédentes. Ce modèle asynchrone se fond bien mieux dans le trafic réseau légitime.

Le Beacon de Cobalt Strike est devenu le terme générique : il offre des options sleep (intervalle de check-in), jitter (randomisation du sleep en pourcentage, 0-99%), maxdns (max bytes par requête DNS), et plusieurs canaux de communication (HTTP, HTTPS, DNS, SMB pipe). Mais le concept existe dans tous les frameworks C2 modernes : Sliver (implants), Mythic (agents), Empire (agents), Havoc (demons).

Caractéristiques avancées : (1) memory residency — le beacon vit en mémoire d'un processus injecté, jamais sur le disque persistant ; (2) sleep mask — pendant le sleep, le payload se XOR/AES-encrypt en mémoire pour échapper aux memory scans ; (3) malleable profiles — le trafic mime des apps connues (User-Agent, URIs, body shape) ; (4) chaining — les beacons peuvent se chaîner via SMB pipes en P2P, un seul "egress beacon" sortant du réseau ; (5) BOFs et inline-execute — exécution de code C/Assembly directement en process beacon, contournant le création de processus child suspect.

Détection : (1) beaconing analysis — RITA, AC-Hunter détectent les patterns réguliers ; (2) JA3/JARM TLS fingerprinting ; (3) Network traffic analysis (NTA) — Darktrace, Vectra, ExtraHop ; (4) memory scanning EDR (CrowdStrike, SentinelOne, Microsoft Defender) ; (5) DNS analytics ; (6) honeyfiles/honeytokens. Mitigations : egress filtering strict, proxy explicit avec MITM TLS, segmentation Zero Trust.