Company Logo LightSecra Solutions Logo Light

C2 Serverless Con Reddit

En la seguridad ofensiva, un sistema de Command and Control (C2) es fundamental para coordinar y mantener una comunicación persistente con dispositivos comprometidos durante una operación. A través de estos sistemas, un operador puede enviar comandos, recibir resultados y desplegar cargas útiles adicionales de manera sigilosa y controlada. Tradicionalmente, los C2 se han basado en arquitecturas explícitas cliente-servidor, donde un servidor central gestiona el control de múltiples agentes distribuidos. Sin embargo, estos enfoques son a menudo detectables por las soluciones de defensa modernas debido a patrones de tráfico anómalos, dominios conocidos o infraestructura persistente expuesta.

¿Qué es un Sistema de Command & Control (C2)?

Un C2, o sistema de Command & Control, es el componente central y estratégico que permite a un atacante ejercer control operativo sobre una red comprometida. Su función principal es facilitar la comunicación bidireccional entre el atacante y los dispositivos comprometidos, comúnmente referidos como agentes o bots. A través del C2, el atacante puede enviar comandos específicos a estos agentes—como recolección de credenciales, movimiento lateral, exfiltración de datos o ejecución de cargas útiles adicionales—y recibir los resultados de estas acciones en tiempo real.

Los Activos C2 Incluyen:

  • TeamServer: Nodo centralizado donde se alojan todos los agentes y la lógica de control.
  • Agentes: Software residente en las máquinas víctima que se conecta al TeamServer.
  • Infraestructura de Red: Dominios, servidores, VPN y mecanismos para ocultar el origen del C2.

Ventajas del C2 Serverless

Los C2 serverless utilizan plataformas legítimas y altamente resilientes para camuflar las comunicaciones, haciendo que la detección y el desmantelamiento por las defensas tradicionales sea difícil. Un C2 sin servidor evita usar un TeamServer tradicional, aprovechando plataformas públicas y confiables como:

  • Reddit
  • Azure Storage
  • AWS S3 / Lambda
  • Google Docs / Drive

Arquitectura C2 Basada en Reddit

La arquitectura aprovecha Reddit como un canal de comunicación encubierto entre el operador (controlador) y los agentes desplegados en sistemas comprometidos. El intercambio de comandos y resultados se realiza a través de la publicación y lectura de contenido en un subreddit privado, aprovechando la infraestructura y reputación de la plataforma.

Componentes:

  • Dos cuentas de Reddit:
    • Controlador: /u/Character_Mixture441
    • Agente: /u/Horror_Ad_625
  • Dos aplicaciones de Reddit: cada cuenta usa su propia app con claves API
Creating a Reddit Application

Diagrama de Arquitectura

El siguiente diagrama ilustra el flujo de comunicación entre los agentes y el servidor de control a través de Reddit:

Ciclo de Comunicación

  1. Envío de Comandos: El controlador encripta el comando usando XOR con una clave compartida, seguido de codificación Base64.
  2. Lectura y Ejecución del Agente: Los agentes monitorizan el subreddit para nuevas publicaciones, descifran comandos y los ejecutan.
  3. Respuesta del Agente: La salida se encripta y se publica como comentarios en la publicación original del comando.
  4. Lectura del Controlador: El controlador monitoriza los comentarios, descifra las respuestas y presenta resultados legibles.
Communication example between Agent and Controller
Example of an output posted as comment after command execution

Nota Importante: Este artículo es solo para fines educativos y no promueve el uso malicioso de estas técnicas. El contenido tiene como objetivo fomentar la comprensión de enfoques avanzados de seguridad ofensiva desde una perspectiva académica.

Código Fuente

Para acceder al código fuente de esta implementación, visita nuestro repositorio oficial de GitHub:
🔗 https://github.com/secrasolutions/RedditC2Serverless

Secra Solutions - Mejorando tu seguridad