C2-коммуникации через легитимные платформы: как злоумышленники прячутся в Steam, соцсетях и облаках
📋 Кратко
C2-коммуникации (Command & Control) эволюционировали: вместо собственных серверов злоумышленники используют легитимные платформы — Steam, Telegram, Google Drive, соцсети. Техника Dead Drop Resolver позволяет вредоносному ПО получать команды через публичные профили и облачные хранилища, маскируя C2-трафик под обычную активность пользователя.
Классическая схема управления ботнетом выглядит так: вредоносное ПО на заражённой машине связывается с C2-сервером злоумышленника, получает команды и отправляет украденные данные. Но есть проблема: такой трафик легко обнаружить. IP-адреса C2-серверов попадают в threat intelligence-фиды, домены блокируются, а TLS-сертификаты раскрывают инфраструктуру.
Поэтому в 2025-2026 годах злоумышленники перешли к использованию легитимных платформ в качестве C2-каналов. Steam, Telegram, Google Drive, Notion, Discord и даже Spotify — любая платформа, куда можно записать данные и откуда их можно прочитать через API или web-интерфейс, становится потенциальным каналом управления вредоносным ПО.
📡 Как работают C2-коммуникации: эволюция
Традиционная модель: выделенный C2-сервер
Вредоносное ПО содержит зашитый IP-адрес или домен C2-сервера. При заражении устанавливается TCP/TLS-соединение, через которое передаются команды и данные. Недостатки: адрес легко обнаруживается, блокируется и добавляется в TI-фиды.
Domain Generation Algorithm (DGA)
Вредонос генерирует сотни доменов в день по алгоритму; злоумышленнику достаточно зарегистрировать один из них. Затрудняет блокировку, но пассивный DNS-мониторинг всё равно выявляет подозрительные паттерны.
Dead Drop Resolver — новое поколение
Вместо прямого соединения с C2-сервером вредоносное ПО обращается к публичному профилю на легитимной платформе (например, описание Steam-аккаунта, пост в Telegram-канале или файл на Google Drive) и читает оттуда зашифрованную команду. Весь трафик выглядит как обычная активность пользователя.
🎮 Платформы, используемые для C2
Steam
Steam-профиль с публичным описанием — идеальный Dead Drop. Злоумышленник меняет описание профиля (никнейм, статус, about-секцию), а вредоносное ПО периодически читает его через публичное API Steam. Трафик выглядит как легитимное обращение к игровой платформе и проходит через корпоративные файрволы.
- Группировка Obstinate Mogwai использовала Steam-профили для управления бэкдором в госсекторе
- Кейс 2025: вредоносное ПО считывало команды из поля «real name» Steam-аккаунтов
Telegram
Telegram-каналы и боты — один из самых популярных векторов. Злоумышленник создаёт публичный канал, постит туда зашифрованные команды, а вредоносное ПО читает их через Telegram API. Преимущество: сквозное шифрование, сложность анализа трафика.
Google Drive, Notion, Pastebin
Публичные документы и «пасты» — классический Dead Drop. Вредоносное ПО загружает содержимое документа по URL, расшифровывает и выполняет команду. Google Drive особенно удобен: HTTPS-трафик к google.com не вызывает подозрений у SIEM-систем.
• Steam — 8% атак с Dead Drop Resolver
• Telegram — 23% атак
• Google Drive/Docs — 18% атак
• Discord — 12% атак
• GitHub — 9% атак
• Прочие (Notion, Spotify, Slack, Trello) — 30% атак
🕵️ Техника Dead Drop Resolver: глубокий разбор
Dead Drop Resolver — это метод получения C2-адреса через легитимный промежуточный сервис. Название отсылает к шпионской практике «мёртвых почтовых ящиков» (dead drops): связной оставляет сообщение в условленном месте, агент забирает его позже.
Как это работает технически
- Злоумышленник создаёт аккаунт на легитимной платформе с публичным доступом
- В описании профиля, посте или документе размещается зашифрованный адрес C2-сервера или прямая команда
- Вредоносное ПО на заражённой машине периодически обращается к этому профилю через API или HTTP-запрос
- Полученные данные расшифровываются и выполняются
- Злоумышленник может в любой момент изменить данные в профиле, мгновенно обновив команды для всего ботнета
Преимущества для атакующего
- Легитимный трафик: запросы идут к известным доменам (steam.com, google.com), не вызывая алертов
- Нет собственной инфраструктуры: не нужно арендовать серверы и регистрировать домены
- Мгновенное обновление: изменение профиля занимает секунды и мгновенно достигает всех жертв
- Сложность блокировки: блокировать steam.com или google.com невозможно
🔍 Методы обнаружения
Обнаружить Dead Drop Resolver сложнее, чем традиционный C2-трафик, но возможно. Ключевой принцип: анализ поведенческих паттернов, а не сигнатур.
1. Анализ периодичности запросов
Вредоносное ПО обычно обращается к Dead Drop с фиксированным интервалом (beaconing). Даже если трафик идёт к легитимному домену, строгая периодичность (например, запрос каждые 300 секунд с точностью до миллисекунды) — красный флаг.
2. Correlation Analysis
Сопоставление сетевого трафика с процессами: если процесс, не имеющий отношения к браузеру, отправляет HTTPS-запросы к Steam API — это аномалия. EDR-решения (CrowdStrike, SentinelOne) способны выявлять такие корреляции.
3. JA3/JA4 Fingerprinting
Даже при использовании HTTPS, TLS-отпечаток (JA3/JA4 hash) клиента может выдать вредоносное ПО. Легитимный Steam-клиент имеет один JA3-хеш, а вредонос, использующий библиотеку на Python или Go — совершенно другой.
4. DNS-анализ
Хотя запросы идут к легитимным доменам, вредонос обычно использует прямые IP-адреса API-эндпоинтов, минуя системный DNS-резолвер. Это можно обнаружить через мониторинг DNS-запросов на конечных точках.
☑ Включите анализ beaconing в SIEM (периодичность запросов к одному URL)
☑ Настройте correlation rules: процесс → домен → периодичность
☑ Используйте JA3/JA4 fingerprinting на NGFW (Palo Alto, Fortinet)
☑ Мониторьте DNS-запросы к API-эндпоинтам легитимных платформ
☑ Внедрите EDR с поведенческим анализом на всех конечных точках
📂 Реальные кейсы
Кейс 1: Obstinate Mogwai — Steam C2 в госсекторе
В 2025 году группировка Obstinate Mogwai атаковала государственные организации через бэкдор, получавший команды из описаний Steam-профилей. Вредоносное ПО парсило публичное API Steam Community, извлекало команду из поля «real_name» и выполняло её. Атака оставалась незамеченной более 6 месяцев.
Кейс 2: Telegram-боты для управления стилерами
Группировка Shedding Zmiy использовала Telegram-каналы для сбора данных, украденных стилерами. Каждый заражённый компьютер отправлял логи в личные сообщения боту, а злоумышленники фильтровали данные через панель управления в том же Telegram. Инфраструктура не требовала ни одного собственного сервера.
🔮 Будущее C2-коммуникаций
Техника Dead Drop Resolver продолжит эволюционировать. Прогнозы на 2026-2027:
- AI-сгенерированные Dead Drops: LLM будут создавать уникальные профили, неотличимые от реальных пользователей
- Steganography 2.0: команды будут встраиваться в изображения на легитимных платформах (Instagram, Pinterest)
- Блокчейн как C2: смарт-контракты в Ethereum/Solana как вечные Dead Drops — невозможно удалить
- IoT Dead Drops: публичные IoT-устройства (камеры, роутеры) как промежуточные узлы C2
📚 Читайте также
- Supply Chain Attacks: защита от атак на цепочку поставок
- AI-атаки в 2026: как ИИ меняет киберугрозы
- Ransomware 2026: новые тактики вымогателей
- Социальная инженерия и фишинг: защита от атак на человека
- Zero Trust Architecture: практическое внедрение
📖 Термины
Dead Drop Resolver · C2-коммуникации · Beaconing · Adversarial ML · XDR