C2 (Command and Control)

Le C2 (Command and Control, aussi écrit C&C ou CnC) désigne l'infrastructure réseau utilisée par un attaquant pour communiquer avec ses implants/malwares déployés sur des machines compromises. Le C2 permet d'envoyer des commandes (lateral movement, data exfiltration, ransomware deployment) et de recevoir des données. C'est l'épine dorsale opérationnelle de toute campagne d'intrusion sophistiquée.

Architectures C2 : (1) classique client-server avec un serveur dédié (souvent loué bulletproof hosting ou compromis) ; (2) domain fronting (utiliser CDN légitime comme façade : Fastly, CloudFront, Azure Front Door) — de plus en plus difficile car les cloud providers ont restreint ; (3) cloud SaaS abuse (Dropbox, Google Drive, Slack, Discord, Telegram, GitHub, Notion) — le trafic se fond dans le légitime ; (4) DNS tunneling (iodine, dnscat2) ; (5) ICMP tunneling ; (6) C2 over HTTPS avec JA3 randomisation ; (7) P2P C2 ; (8) C2 via blockchain.

Frameworks C2 commerciaux/open source : Cobalt Strike (commercial, le standard de l'industrie et des APT), Sliver (open source, Go, considéré comme alternative moderne), Mythic, Empire/Starkiller, Havoc, Brute Ratel, Merlin, Posh-C2, Covenant, Metasploit (basique).

Protocoles d'évasion : sleep et jitter (l'implant ne contacte le C2 que toutes les X minutes avec randomisation), encryption (AES + RSA), domain rotation (DGA — Domain Generation Algorithm), malleable C2 profiles (mimer le trafic d'apps légitimes : Slack, Microsoft Teams, Outlook).

Détection : (1) DNS analytics (anomalies de fréquence, longueur, entropie) ; (2) network beaconing detection (RITA, Zeek) ; (3) TLS fingerprinting (JA3/JA3S/JARM) ; (4) threat intel feeds (URLhaus, AbuseIPDB) ; (5) DNS sinkhole. Mitigations : Egress filtering, DNS firewall (Cisco Umbrella, Quad9), proxy explicit avec inspection TLS, EDR avec C2 framework signatures.