¿Qué es Covenant C2?

¡Buenas a tod@s! ¿Alguna vez te has preguntado cómo los ciber-delincuentes o equipos de red team pueden controlar tu ordenador y tus dispositivos sin que te des cuenta? La respuesta está en los servidores C2. Hoy vamos a hablar sobre uno de los servidores C2 más utilizados: Covenant C2. Te explicaremos qué es, cómo funciona y lo más importante, cómo protegerte de sus peligrosos ataques. Así que si no quieres que te controlen el ordenador sin tu permiso, quédate con nosotros para aprender un poquito más sobre ciberseguridad. ¡Empecemos!

Introducción

En el mundo de la ciberseguridad, los ataques y la defensa se desarrollan continuamente. Las herramientas y técnicas de los ciberdelincuentes evolucionan con el tiempo, lo que obliga a los expertos en seguridad a mantenerse actualizados para proteger sus sistemas y datos. Una de las herramientas más populares que se utilizan en los ataques es el comando y control (C2) remoto, que permite a los atacantes tomar el control de un sistema infectado. En este post, hablaremos sobre una de las plataformas C2 más populares, Covenant.

Si ya sabes que es Covenant y quieres conocer como funciona puedes visitar el enlace: ¿Cómo funciona Covenant C2?

¿Qué es un servidor C2?

Un C2 (comando y control) es un sistema de software que permite a un atacante controlar una red de dispositivos infectados, conocidos como botnet, y recibir información de ellos. Estos sistemas se utilizan para realizar ataques coordinados y para controlar y administrar el malware en una red comprometida.

¿Qué es Covenant?

Covenant es una plataforma C2 gratuita y de código abierto diseñada para ser utilizada en la creación de botnets. Esta herramienta es altamente configurable y ofrece una variedad de funciones que permiten a los atacantes controlar de manera efectiva sus botnets.

Entre las características que hacen de Covenant una herramienta popular se encuentran su facilidad de uso, su gran cantidad de funciones personalizables y su capacidad para integrarse con otras herramientas de hacking. La herramienta es compatible con los sistemas operativos Windows, Linux y macOS, lo que la hace accesible para una gran cantidad de usuarios.

Características de Covenant

Covenant es una herramienta altamente personalizable que ofrece una amplia gama de funciones personalizables, incluyendo:

• Monitoreo y control de dispositivos infectados: Covenant permite a los atacantes controlar los dispositivos infectados y recibir información de ellos, como los datos de la cuenta de usuario y los detalles del sistema operativo.
• Comunicación bidireccional: los atacantes pueden enviar comandos y recibir respuestas de los dispositivos infectados.
• Flexibilidad: la plataforma es altamente personalizable y los usuarios pueden agregar nuevas funciones y características de acuerdo a sus necesidades.

Terminología de Covenant C2

Antes de continuar, es importante comprender algunos términos clave que se utilizan con frecuencia en el contexto de Covenant C2:

• Agente: Un agente es un dispositivo infectado que se ha unido a una botnet controlada por Covenant.
• Módulo: Un módulo es una unidad de funcionalidad en Covenant. Los módulos se utilizan para realizar tareas específicas, como la extracción de información del sistema o la ejecución de un comando en un dispositivo infectado.
• Listeners: Los listeners son los puntos finales que escuchan la comunicación entre los agentes y la plataforma de Covenant.
• Perfil: Un perfil es un conjunto de configuraciones para un listener específico en Covenant. Los perfiles se utilizan para definir cómo se comportará el listener, qué módulos utilizará y cómo interactuará con los agentes.
• Payload: Un payload es el código malicioso que se entrega al dispositivo para infectarlo y convertirlo en un agente.
• Task: Una tarea es una acción específica que se realiza en un agente, como la extracción de información o la ejecución de un comando.

Ventajas de Covenant

• Personalización: la herramienta es altamente personalizable, lo que significa que los usuarios pueden adaptarla para satisfacer sus necesidades específicas.
• Integración: Covenant es compatible con otras herramientas de hacking, lo que permite a los usuarios integrarla en sus proyectos más amplios.
• Facilidad de uso: a pesar de ser altamente configurable, Covenant es fácil de usar, lo que la hace accesible para una amplia gama de usuarios.
• Gratuita: al ser de código abierto, la herramienta es gratuita para su uso y modificación.

Desventajas de Covenant

Detección: debido a su popularidad, Covenant es una herramienta bien conocida en el mundo de la ciberseguridad, lo que significa que los sistemas de detección pueden identificar su uso.

Complejidad: aunque la herramienta es fácil de usar, su configuración y personalización pueden resultar complejas para algunos usuarios.

Instrucciones de instalación y requisitos de Covenant

Para instalar Covenant, se necesita .NET Core 3.1 o superior. El proceso de instalación se describe a continuación:

En mi caso, he realizado la instalación en un Debian 11. El primer paso que vamos a realizar, será clonar el repositorio de Covenant:

git clone --recurse-submodules https://github.com/cobbr/Covenant

El siguiente paso, será descargarnos los paquetes de Microsoft necesarios para poder instalar los repositorios de dotnet-core 3.1 SDK:

wget https://packages.microsoft.com/config/debian/10/packages-microsoft-prod.deb -O packages-microsoft-prod.deb

Una vez hemos descargado el paquete necesario, procedemos a su instalación:

dpkg -i packages-microsoft-prod.deb

Actualizamos los repositorios e instalamos dotnet-core 3.1 SDK:

apt -y update
apt-get install dotnet-sdk-3.1

Nos dirigimos al directorio donde hemos clonado Covenant y ejecutamos la compilación del proyecto:

cd Covenant/Covenant
dotnet build

Una vez hemos lanzado esto, podemos lanzar nuestro Covenant con el siguiente comando:

dotnet run

Viendo como resultado algo parecido a la siguiente imagen:

En caso de ir a nuestro navegador y dirigirnos al puerto indicado con la IP del servidor, se nos pedirá introducir un nuevo usuario y su respectiva contraseña:

Finalmente, podemos ver la interfaz web de Covenant:

En futuros posts, veremos las funcionalidades de cada una de las secciones y cómo poder interactuar con las mismas, para poder finalmente, infectar un equipo y controlarlo.

Cómo protegernos ante ataques de servidores C2

Ahora que conocemos los peligros de los servidores C2, es importante tomar medidas para proteger nuestros sistemas y redes de estos ataques. Aquí hay algunos pasos que puedes tomar para minimizar el riesgo:

1. Implementa medidas de seguridad: Para proteger tus sistemas de ataques de servidores C2, asegúrate de tener en su lugar medidas de seguridad como firewalls, sistemas de detección de intrusos y antivirus actualizados y configurados correctamente.
2. Sé proactivo: Es importante que estés siempre alerta ante posibles ataques. Mantén una estrecha vigilancia sobre tus sistemas y dispositivos, y toma medidas inmediatas si observas alguna actividad sospechosa.
3. Educa a tus empleados: A menudo, los ataques de servidores C2 aprovechan la falta de conocimiento y capacitación de los empleados. Por lo tanto, es importante que capacites a tus empleados sobre los peligros de los ataques de servidores C2 y cómo prevenirlos.
4. Actualiza tus sistemas y aplicaciones: Mantener tus sistemas y aplicaciones actualizados es una de las mejores maneras de protegerte contra posibles vulnerabilidades. Asegúrate de aplicar parches y actualizaciones tan pronto como estén disponibles.
5. Realiza pruebas de penetración: Las pruebas de penetración regulares pueden ayudarte a detectar y corregir posibles vulnerabilidades en tus sistemas y redes. Asegúrate de realizar pruebas de penetración con regularidad para asegurarte de que tus sistemas estén protegidos contra posibles ataques.

Si sigues estos pasos, puedes minimizar el riesgo de sufrir un ataque de servidor C2 y proteger mejor tus sistemas y redes.

Conclusión

Covenant es una herramienta poderosa y altamente configurable para la creación de botnets. Como con cualquier herramienta de hacking, es importante utilizarla de manera responsable y ética. Los profesionales de la ciberseguridad pueden utilizar esta herramienta para comprender mejor cómo se utilizan las plataformas C2 y cómo se pueden defender contra ellas.

Más información

Si quieres conocer cómo funciona Covenant C2 y como forma parte de un ataque, visita el siguiente post: ¿Cómo funciona Covenant C2?

Enlaces de referencia

• Página oficial de Covenant: https://github.com/cobbr/Covenant
• Información sobre Comando y Control en el Centro Nacional de Seguridad Cibernética de Reino Unido: https://www.ncsc.gov.uk/collection/command-and-control
• Tutorial sobre la instalación de Covenant: https://www.hackingarticles.in/covenant-installation-setup-guide/
• Artículo sobre el uso de Covenant para la creación de botnets: https://www.hackingloops.com/what-is-covenant-c2-and-how-to-create-botnet-using-covenant-c2/

Más enlaces

• https://www.securitynewspaper.com/2021/02/02/covenant-c2-the-powershell-c2-that-stealthily-moves-like-a-ninja/
• https://www.secureworld.io/industry-news/what-is-c2c-attack-and-how-to-prevent-it
• https://github.com/cobbr/Covenant
• https://www.securitynewspaper.com/2021/02/02/covenant-c2-the-powershell-c2-that-stealthily-moves-like-a-ninja/
• https://github.com/cobbr/Covenant/wiki/Installation

• https://github.com/cobbr/Covenant/wiki/Terminology
• https://cobbr.io/Aggressor-Script-Development/wiki/Understanding_Covenant_C2_terminology.html