СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

Mythic: C2‑фреймворк, Discord/GitHub транспорты и методы обнаружения

Фреймворк Mythic продолжает завоевывать популярность среди киберпреступных группировок благодаря гибкой архитектуре и богатому набору коммуникационных модулей. Этот отчет описывает ключевые свойства платформы, используемые в операциях командования и контроля (C2), а также методы сокрытия трафика и возможности детектирования на уровне сети.

«Фреймворк Mythic, растущий инструмент для постэксплуатации, примечателен своими возможностями командования и контроля (C2) и широким набором коммуникационных модулей».

Кратко о конструкции и возможностях

Mythic построен с использованием контейнерной архитектуры Docker, что обеспечивает модульность и простоту развёртывания. Платформа управляет агентами, реализованными на разных языках программирования: Go, Python, C#. Это позволяет злоумышленникам запускать и контролировать код на Windows, macOS и Linux.

Поддерживаемые протоколы коммуникации включают:

  • HTTP/S
  • WebSocket
  • TCP
  • SMB
  • DNS
  • MQTT

Модели коммуникации: P2P и исходящая связь

В структуре Mythic выделяются две релевантные модели коммуникации: одноранговая (P2P) и исходящая (outbound) связь. P2P-возможности заметны при анализе сетевого трафика: в сохранённых пакетах наблюдаются характерные записи запросов SMB и типичные модели инициализации TCP‑соединений.

Для исходящих соединений агенты могут напрямую взаимодействовать с сервером C2 через HTTP и HTTPS. При этом:

  • HTTP‑коммуникации чаще подвержены обнаружению на основе сигнатур из‑за незашифрованных метаданных.
  • HTTPS затрудняет анализ из‑за шифрования, однако агенты, использующие стандартные SSL/TLS‑сертификаты по умолчанию, могут создавать узнаваемые шаблоны трафика.
  • WebSocket обеспечивает постоянный двунаправленный канал, который удобен для управления агентами в реальном времени.

Методы сокрытия: использование публичных сервисов

Для тайных операций Mythic интегрирует транспортные модули, маскирующие C2‑трафик под легитимную активность на популярных платформах, в частности Discord и GitHub:

  • Discord: команды и результаты выполнения маскируются под обычные сообщения; передача проходит поверх HTTPS и шифруется с помощью TLS.
  • GitHub: транспортный модуль использует GitHub API — агенты взаимодействуют через issues, commit‑ы и возможности fork/branch, что позволяет обходить прямые C2‑взаимодействия и замаскировывать коммуникацию под работу с репозиториями.

Особенности детектирования и рекомендации для защиты

Несмотря на сложность скрытых каналов, у аналитиков остаются точки воздействия для обнаружения и реагирования:

  • Правила Suricata и другие сетевые средства могут фокусироваться на специфичных структурах пакетов: поля, обнулённые в заголовках, и блоки данных, кодированные в base64, — это признаки управления и передачи команд.
  • Анализ шаблонов TLS/SSL‑сертификатов и характеристики сессий HTTPS (например, повторяющиеся fingerprint‑ы, одинаковые cipher suites, поведение handshake) помогает выявлять аномалии, даже если содержимое зашифровано.
  • Мониторинг активностей, имитирующих работу с публичными сервисами (частые обращения к API GitHub с нестандартным поведением, аномальные сообщения в Discord от учетных записей с необычной активностью), требует корелляции с другими телеметриями для подтверждения вредоносности.
  • Использование постоянных каналов, таких как WebSocket, даёт характерные метрики по длительности и частоте сессий — их нужно учитывать в механизмах поведенческого анализа.

Заключение

Mythic демонстрирует сочетание расширенных тактик постэксплуатации и прагматичной модульности: контейнерная архитектура, мульти‑язычные агенты и интеграция с популярными сервисами делают платформу удобной для злоумышленников. В то же время последовательность в коммуникационной стратегии создаёт возможности для защитников — анализ сетевого трафика, кореляция телеметрии и фокус на аномалиях TLS/HTTP/WebSocket трафика остаются ключевыми инструментами.

Организациям важно учитывать эволюцию подобных фреймворков при планировании мер защиты: обновление правил IDS/IPS (включая Suricata), усиление мониторинга API‑трафика публичных сервисов и внедрение поведенческой аналитики помогут сократить окно возможной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: