# Threat Hunting for C2 with RITA ## 1. Introduction to RITA **RITA** (Real Intelligence Threat Analytics) là một công cụ mã nguồn mở được sử dụng để phân tích an ninh mạng và phát hiện mối đe dọa. Công cụ này thu thập, phân tích và xử lý dữ liệu lưu lượng mạng, cung cấp cái nhìn sâu sắc về hoạt động mạng và cho phép các chuyên gia an ninh phát hiện cũng như phản ứng với các sự cố bảo mật. RITA cung cấp cảnh báo theo thời gian thực và hỗ trợ thực hiện các tác vụ giám sát mạng cũng như ứng phó sự cố. Công cụ này được thiết kế để dễ dàng cài đặt, sử dụng và bảo trì, là lựa chọn phổ biến cho các tổ chức quy mô nhỏ đến vừa. **RITA hỗ trợ nạp dữ liệu từ log của Zeek dưới định dạng TSV**, và hiện tại cung cấp các tính năng chính sau: * **Phát hiện hành vi beaconing**: Tìm kiếm dấu hiệu của hành vi beacon từ trong hoặc ngoài mạng. * **Phát hiện DNS Tunneling**: Tìm kiếm dấu hiệu của kênh truyền ẩn dựa trên giao thức DNS. * **Kiểm tra danh sách đen (Blacklist Checking)**: Tra cứu các danh sách đen để phát hiện các domain và host đáng ngờ. * **Phân tích độ dài URL**: Phát hiện các URL có độ dài bất thường – dấu hiệu của phần mềm độc hại. * **Phát hiện hoạt động quét (Scanning Detection)**: Tìm kiếm các dấu hiệu của hoạt động quét cổng trong mạng của bạn. ## 2. Generating Zeek Logs Zeek là một nền tảng mã nguồn mở dùng để phân tích an ninh mạng, cung cấp giải pháp toàn diện cho việc giám sát và phân tích lưu lượng mạng. Zeek có khả năng thu thập và phân tích lưu lượng, phát hiện các mối đe dọa bảo mật, và tạo ra các báo cáo phân tích. Công cụ này được sử dụng rộng rãi bởi các quản trị viên mạng và chuyên gia an ninh để phát hiện, ứng phó sự cố bảo mật và tối ưu hóa hiệu suất mạng thông qua việc phân tích lưu lượng. * **Trang chính của Zeek**: * **Zeek trên GitHub**: **Mối quan hệ giữa Zeek và RITA** RITA hoạt động kết hợp với Zeek bằng cách nhập các log do Zeek tạo ra và thực hiện phân tích trên các log này. Vì vậy, **bước đầu tiên khi xử lý lưu lượng mạng đã thu thập được là chuyển đổi nó thành log của Zeek**. **Khởi đầu với Zeek** Trước tiên, chúng ta cần tìm hiểu các tuỳ chọn dòng lệnh mà Zeek hỗ trợ.

Trong đó, chúng ta **quan tâm đến tuỳ chọn `-r`**, cho phép Zeek đọc dữ liệu từ một file lưu lượng (vd: `.pcap`). Khi sử dụng tuỳ chọn này, Zeek sẽ **tạo ra các file log tại thư mục hiện hành**.

**Lệnh tạo log từ file PCAP bằng Zeek**

```bash zeek -r capture.pcap ``` Lệnh trên sẽ đọc file `capture.pcap` và sinh ra các log tương ứng.

**Kiểm tra log vừa tạo** Sau khi Zeek hoàn tất quá trình phân tích, bạn có thể mở một trong các file log (như `conn.log`, `dns.log`, `http.log`, ...) để xác minh dữ liệu đã được phân tích thành công. ## 3. Overview of RITA Trong phần này của khóa học, chúng ta sẽ tìm hiểu về RITA và các tham số dòng lệnh của nó. **RITA sử dụng MongoDB để lưu trữ dữ liệu mạng sau khi đã được phân tích và làm giàu (enriched)**. Bài học này cũng sẽ hướng dẫn bạn cách **import các log từ Zeek vào trong RITA** để phục vụ việc săn tìm mối đe dọa. * **RITA GitHub**: ### **3.1. Cấu hình của RITA** RITA sử dụng một file cấu hình YAML tại đường dẫn:\ `/etc/rita/config.yaml`\ File này chứa tất cả các tham số và cấu hình cần thiết để RITA hoạt động theo ý muốn. Để kiểm tra tính hợp lệ của file cấu hình, mở terminal và chạy lệnh sau: ```bash rita test-config ```

Bạn có thể tùy chỉnh cấu hình trong file YAML này tùy theo nhu cầu và mô hình tổ chức, giúp RITA trở thành một công cụ linh hoạt trong SOC (Security Operations Center) hoặc hệ thống threat hunting. ### **3.2. Danh sách lệnh hỗ trợ trong RITA (Help Menu)**

Lệnh	Mô tả
`clean`, `clean-databases`	Tìm và xóa các cơ sở dữ liệu bị hỏng. Có xác nhận trừ khi dùng `--force`.
`delete`, `delete-database`	Xóa cơ sở dữ liệu đã được import.
`import`	Import log Zeek vào một cơ sở dữ liệu trong RITA.
`html-report`	Tạo báo cáo HTML từ cơ sở dữ liệu đã phân tích.
`show-beacons`	Hiển thị các host có dấu hiệu beacon C2.
`show-beacons-proxy`	Beacon C2 nội bộ qua proxy.
`show-beacons-sni`	Beacon C2 qua phân tích SNI.
`show-bl-hostnames`	Hiển thị host bị blacklist có nhận kết nối.
`show-bl-source-ips`	Hiển thị IP blacklist đã khởi tạo kết nối.
`show-bl-dest-ips`	Hiển thị IP blacklist đã nhận kết nối.
`list`, `show-databases`	Liệt kê các cơ sở dữ liệu đã import.
`show-exploded-dns`	Phân tích DNS, phát hiện kênh ngầm DNS.
`show-long-connections`	Hiển thị các kết nối kéo dài.
`show-open-connections`	Hiển thị các kết nối đang mở.
`show-strobes`	Hiển thị hành vi strobe (giao tiếp kiểu thăm dò).
`show-useragents`	Hiển thị thông tin user-agent.
`test-config`	Kiểm tra cấu hình của RITA.
`help`, `h`	Hiển thị trợ giúp về lệnh.

#### **Import Zeek Logs vào RITA** Để import các log Zeek đã tạo ra trước đó, bạn sử dụng cú pháp: ```bash rita import /đường_dẫn_đến_thư_mục_log_zeek/ tên_database_rita ``` Và ví dụ:

## 4. Hunting for C2 Beacons **Command-and-Control (C\&C hay C2)** beaconing là một dạng liên lạc độc hại giữa máy chủ điều khiển (C\&C server) và phần mềm độc hại trên máy nạn nhân đã bị nhiễm. Máy chủ C\&C có thể thực hiện nhiều hành động nguy hiểm, từ tấn công từ chối dịch vụ (DoS), mã hóa tống tiền (ransomware) cho đến đánh cắp dữ liệu. Thông thường, máy bị nhiễm sẽ **định kỳ kết nối tới máy chủ C\&C**, tạo thành mô hình liên lạc gọi là **beaconing**. Dạng lưu lượng này có thể được phân biệt nhờ các **khoảng thời gian lặp lại đều đặn**, tuy nhiên nếu nó sử dụng các cổng/phương thức phổ biến như **HTTP:80 hoặc HTTPS:443** thì có thể bị **ẩn mình giữa lưu lượng hợp lệ**, qua mặt tường lửa. Ngoài ra, kẻ tấn công có thể **ngẫu nhiên hóa khoảng thời gian beacon** để né phát hiện. RITA sử dụng các đặc trưng hành vi này để **phát hiện beacon C2**. #### 🔍 **2 phương pháp săn tìm beacon trong RITA** 1. **`show-beacons`**: Phát hiện beacon dựa trên **khoảng thời gian nghỉ** và **tần suất giao tiếp định kỳ**. 2. **`show-beacons-sni`**: Phát hiện beacon dựa trên phân tích **SNI (Server Name Indication)** ở tầng ứng dụng – đặc biệt hữu ích khi C2 server được **ẩn sau các CDN như Cloudflare, Akamai**. ### 🧪 **Săn tìm beacon với `show-beacons`**

```bash rita show-beacons -databasename- ``` Kết quả sẽ hiển thị danh sách các **IP/host nghi ngờ là C2**. Ví dụ dưới đây chỉ có một kết quả – giúp giảm tỷ lệ false positive. Chúng ta có thể thêm cho lệnh này dễ đọc hơn bằng cách thêm "-H" vào cuối lệnh.

```bash rita show-beacons -databasename- -H ``` **📊 Phân tích kết quả đầu ra:**

Trường	Giải thích
SCORE	Điểm đánh giá của RITA (0 → 1). 1 là rất nghi ngờ.
SOURCE IP	Địa chỉ IP khởi tạo kết nối.
DESTINATION IP	Địa chỉ IP nhận kết nối.
CONNECTIONS	Số lần kết nối giữa Source và Destination.
AVG BYTES	Trung bình số byte truyền/nhận mỗi kết nối.
TOTAL BYTES	Tổng dung lượng dữ liệu truyền.
TS SCORE (Time Skew Score)	Đánh giá độ đối xứng dữ liệu. Càng gần 1 là càng đáng ngờ.
DS SCORE (Dispersion Score)	Đánh giá độ tập trung xung quanh một khoảng thời gian cố định – beacon rõ rệt sẽ có DS gần 1.

### 🧱 **Phát hiện beacon sau CDN với `show-beacons-sni`**

```bash rita show-beacons-sni -databasename- -H ``` Kết quả hiển thị **tên miền bị gắn cờ là C2**, cùng điểm số tương tự với `show-beacons`. Trong ví dụ, ta phát hiện: * **IP C2**: `80.77.25.65` * **Domain**: `jumptoupd.com` Hãy tìm kiếm nhanh địa chỉ IP và tên miền trên Virustotal.

Khi tra cứu trên **VirusTotal**, ta thấy domain và IP có liên hệ với nhau tại thời điểm xảy ra kết nối độc hại.

#### ✅ **Kết luận từ phân tích**

Thành phần	Giá trị nghi ngờ
C2 IP	`80.77.25.65`
C2 Hostname	`jumptoupd.com`

Cả hai đều được RITA và các nền tảng bên ngoài (VD: VirusTotal) xác nhận là độc hại. ## 5. Hunting for Beacon Evasion Technique Một số kẻ tấn công sẽ cố gắng duy trì kết nối với hệ thống bị xâm nhập trong thời gian dài để né tránh các phân tích beacon, đồng thời vẫn giữ liên lạc với hệ thống mục tiêu. Chúng thực hiện điều này nhằm tránh kích hoạt cảnh báo và gây nghi ngờ từ hệ thống phòng thủ. Ví dụ, một kẻ tấn công sẽ có khả năng bị phát hiện thấp hơn nhiều nếu chúng tải lên 10 GB dữ liệu trong vòng **2 ngày** với tốc độ chậm, thay vì tải hết bằng toàn bộ băng thông chỉ trong vài phút — điều mà các hệ thống bảo mật sẽ nhanh chóng phát hiện. Kết nối càng chậm, cơ hội thành công của kẻ tấn công càng cao. Tuy nhiên, điều này cũng mang lại cơ hội cho chúng ta: kết nối chậm đồng nghĩa với kết nối kéo dài, và điều này có thể được khai thác để **săn tìm mối đe dọa nâng cao (APT)**. Việc tìm kiếm các kết nối duy trì trong nhiều giờ hoặc hơn có thể giúp phát hiện các **kênh giao tiếp C2 tiềm ẩn**. #### **5.1 Đi vào thực hành** Chúng ta sẽ tiếp tục sử dụng tập dữ liệu mạng (PCAP/flow) từ phần trước để minh họa kỹ thuật **Beacon Evasion nâng cao** này. Trước đó, trong quá trình phân tích beacon, chúng ta đã xác định được **2 IOC**: * `80[.]77[.]25[.]65` * `jumptoupd[.]com` Tuy nhiên, một số địa chỉ IP độc hại khác sử dụng kỹ thuật ẩn mình này đã **bị bỏ sót**. Trong phản ứng sự cố (incident response) và săn mối đe dọa (threat hunting), **việc bỏ sót dù chỉ một dữ liệu nhỏ cũng có thể gây hậu quả nghiêm trọng**, vì thế không được bỏ qua bất kỳ dấu vết nào. #### Sử dụng tùy chọn “show-long-connections” trong RITA

```bash rita show-long-connections -databasename- -H ``` Kết quả hiển thị ra **3 địa chỉ IP** cùng với giao thức, cổng, thời gian duy trì kết nối, và tổng số byte truyền. Tuy nhiên, **các IOC trước đó không nằm trong danh sách này**.

#### **Phân tích lần lượt từng IP với VirusTotal** * **IP đầu tiên**: khi tra cứu trên VirusTotal, ta thấy nó liên kết với **2 tên miền (domain)**. Hãy ghi chú lại vì chúng sẽ **quan trọng về sau**.

* **IP thứ hai**: tương tự, cũng liên kết với một số **domain đáng ngờ**. Ghi chú lại.

* **IP thứ ba**: phát hiện ra **nhiều tệp tin độc hại liên quan**, cho thấy IP này có thể được dùng để **lưu trữ payload, dropper hoặc stager**. #### **Kết luận bước đầu** Nhờ RITA, chúng ta đã thu thập thêm **IOC** liên quan đến vụ việc. Có thể kết luận rằng các địa chỉ IP mới phát hiện đều là một phần trong **cơ sở hạ tầng C2** của tác nhân đe dọa vào thời điểm xảy ra sự cố. ### Thực hành Đầu tiên khi nhận được file pcap là file lưu lượng mạng thì ta sẽ dụng câu lệnh zeek để tạo log có định dạng zeek sau đó đổ log tạo được vào rita. Đầu tiên sử dụng câu lệnh là `zeek -r file.pcap`

Như vậy thì đã có log thuộc dạng của zeek. Thì ta sẽ sử dụng câu lệnh `rita import /path/to/the/folder_log_zeek database_name_rita_new` Và nhận được kết quả:

Sau đó thì ta sẽ hiển thị kiểm tra các kết nối có thời gian kết nối dùy trì lâu bằng flag `show-long-connections` của rita và nhận được kết quả sau:

Trước đó thì ta sẽ kiểm tra xem là nó có beacons hay không:

## 6. DNS Channels and DNS Tunneling **DNS (Domain Name System) Command and Control (C2)** là một kỹ thuật được các tác nhân độc hại sử dụng để thiết lập kênh liên lạc và điều khiển hệ thống bị xâm nhập **thông qua lưu lượng DNS**. Mặc dù giao thức DNS được thiết kế để phân giải tên miền thành địa chỉ IP, kẻ tấn công có thể **lợi dụng nó như một kênh truyền thông bí mật**. #### **Cơ chế hoạt động cơ bản của DNS C2:** 1. **Lây nhiễm:** Hệ thống mục tiêu bị nhiễm mã độc có khả năng liên lạc C2 qua DNS. Mã độc này có thể là một phần của chiến dịch APT hoặc botnet phức tạp. 2. **Gửi truy vấn DNS:** Mã độc sinh ra các truy vấn DNS tới **các tên miền (hoặc subdomain) do kẻ tấn công kiểm soát**. Truy vấn này có thể chứa dữ liệu mã hóa, mã lệnh hoặc yêu cầu thực hiện hành động. 3. **Máy chủ C2 (DNS độc hại).** Kẻ tấn công thiết lập máy chủ DNS độc hại (hoặc chiếm quyền điều khiển máy chủ DNS hợp pháp) để **nhận và xử lý truy vấn từ các hệ thống bị nhiễm**. 4. **Phản hồi DNS:** Máy chủ DNS gửi về phản hồi chứa **mã lệnh, dữ liệu cấu hình hoặc payload**. Dữ liệu có thể được mã hóa hoặc che giấu để né phát hiện. 5. **Thực thi lệnh:** Mã độc trên máy bị nhiễm phân tích phản hồi DNS và **thực thi lệnh tương ứng**: đánh cắp dữ liệu, tải thêm payload, hoặc thực hiện hành vi phá hoại. #### **Ưu điểm của kỹ thuật DNS C2 đối với kẻ tấn công** * **Tàng hình (Stealth)**: DNS là giao thức phổ biến và không thể thiếu, khiến việc phân biệt giữa truy vấn hợp pháp và truy vấn độc hại trở nên khó khăn. * **Duy trì liên lạc (Persistence)**: DNS hoạt động ở hầu hết mọi hệ thống, kể cả trong môi trường bị kiểm soát chặt, giúp kẻ tấn công **duy trì C2 ngay cả khi các giao thức khác bị chặn**. ### 🔬 **Phân tích hành vi này bằng RITA** Sử dụng lệnh sau để phân tích các kênh DNS khả nghi: ``` rita show-exploded-dns -H ```

Kết quả hiển thị **4 tên miền đáng ngờ** cùng với tần suất truy cập. Vì RITA chỉ liệt kê các domain có **khả năng cao là độc hại**, ta cần kiểm tra chi tiết thêm. **🧪 Phân tích từng domain:** 1. **Domain đầu tiên: `pkusamain[.]cloud`** * Bị truy vấn **22 lần**. * Không xuất hiện trong các phân tích trước → có thể là một **IOC mới**. * Khi tra trên VirusTotal: xác nhận là **độc hại**. * **Đặc biệt**: domain này **trỏ về cùng địa chỉ IP** đã xuất hiện trong bài học về *Long Connections*, cho thấy **sự phối hợp chặt chẽ giữa nhiều kỹ thuật evasion**.

2. **Domain thứ hai** * Sau khi tra cứu cũng cho thấy **hoạt động đáng ngờ** và có thể là IOC cần theo dõi.

3. **Domain thứ ba** * Đã phát hiện trong quá trình phân tích beacon trước đó. * Cho thấy **kênh này được dùng làm C2 thực thi lệnh**.

4. **Domain thứ tư** * Liên quan đến **phân phối mã độc ICEDID**, một loại malware chuyên dùng để tải stager và payload khác. ### ✅ **Kết luận giai đoạn phân tích** Qua phân tích bằng RITA, chúng ta đã phát hiện được: * IOC mới sử dụng DNS để duy trì C2. * Có mối liên kết giữa beacon, DNS C2, và hoạt động phân phối malware. * Kẻ tấn công kết hợp nhiều kỹ thuật để **tránh bị phát hiện**, khiến việc phân tích trở nên phức tạp hơn. ## 7. Generating Reports RITA cung cấp tùy chọn tạo **báo cáo định dạng HTML** giúp bạn dễ dàng phân tích kết quả mà không cần thao tác trực tiếp trên dòng lệnh. Tính năng này **rất hữu ích để chia sẻ kết quả phân tích IOC/C2 với người khác**, đặc biệt là các nhóm không chuyên kỹ thuật. ### 🛠️ **Cách tạo báo cáo** Tất cả những gì bạn cần làm là chạy **một lệnh duy nhất**: ```bash rita html-report ``` 📝 **Lưu ý**: `` chính là tên bạn đã dùng khi tạo database từ file PCAP bằng `rita import`.

Sau khi thực thi lệnh: * RITA sẽ **tự động tạo một thư mục mới** trùng tên với cơ sở dữ liệu trong thư mục hiện tại.

* Thư mục này sẽ chứa file **`index.html`** cùng với các trang phụ trình bày kết quả của **tất cả các lệnh phân tích mà RITA hỗ trợ**, bao gồm: * Long Connections * Beaconing * DNS Exploded * Blacklist Hits * và nhiều loại IOC khác.

### 🌐**Cách xem báo cáo** **✔️ Nếu bạn đang làm việc trên hệ thống GUI (có giao diện đồ họa):** * Chỉ cần mở file `index.html` trong trình duyệt. **✔️ Nếu bạn làm việc trên máy chủ hoặc qua SSH (không có GUI):** * Hãy sử dụng một **web server Python** để hiển thị thư mục chứa báo cáo: ``` cd python3 -m http.server 8080 ```

### 🖥️ **Khám phá báo cáo** 1. Mở địa chỉ `http://:8080` trên trình duyệt. 2. Click vào tên database của bạn. 3. Giao diện báo cáo sẽ hiện ra với các **tab ở phía trên**, ví dụ: * **Long Connections** * **DNS Channels** * **Beaconing** * v.v...

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://viettaliii.gitbook.io/home/th/threat-hunting-for-c2-with-rita.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.