1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@nozomi2025

HTTP / HTTPS Listeners とは何か— 現代 C2 フレームワークにおける最重要通信方式

Posted at

はじめに

C2(Command & Control)フレームワークにおいて、**Listener(待受通信方式)**は運用の成否を大きく左右する重要な要素である。
中でも HTTP / HTTPS Listener は、現在のレッドチーム運用において事実上の標準となっている。

本記事では、以下の観点から HTTP / HTTPS Listener を解説する。

  • なぜ HTTP / HTTPS が好まれるのか
  • Domain Fronting や Malleable C2 Profile との関係
  • NGFW(次世代ファイアウォール)視点での検知困難性
  • Metasploit における実装と実運用イメージ

HTTP / HTTPS Listener とは

HTTP / HTTPS Listener とは、
C2 サーバが Web サーバのように振る舞いながら、侵害済み端末(Agent)と通信する方式である。

見た目上は以下と区別がつかない。

  • 一般的な Web API
  • SaaS の定期ポーリング通信
  • ブラウザやアプリのバックエンド通信

つまり、**C2 通信が「普通の Web 通信に偽装される」**ことが最大の特徴である。

なぜ HTTP / HTTPS が強いのか

① 企業ネットワークで“確実に許可されている”

多くの企業ネットワークでは:

  • HTTP(80/tcp)
  • HTTPS(443/tcp)

原則許可 されている。

これを遮断すると:

  • Web ブラウジング不可
  • SaaS 利用不可
  • 業務停止

という事態になるため、防御側は簡単にブロックできない

② HTTPS による完全な通信内容の秘匿

HTTPS Listener を使用した場合:

  • C2 指令
  • 実行結果
  • ファイル送受信

これらはすべて TLS で暗号化 される。

NGFW や IDS/IPS から見えるのは:

  • 接続先 IP / ドメイン
  • TLS ハンドシェイク情報
  • 通信頻度・サイズ

のみであり、ペイロードの中身は不可視 となる。

③ Domain Fronting による「借り物の顔」

HTTP/HTTPS Listener は Domain Fronting と非常に相性が良い。

Domain Fronting とは:

表向きは CDN や大手サービスに通信しているように見せ、
内部的には別の C2 サーバへ転送させる技術

防御側からは:

  • SNI:cloudfront.net
  • 証明書:正規 CDN

に見えるため、遮断が極めて難しい

④ Malleable C2 Profile による高度な偽装

Malleable C2 Profile を利用することで、
HTTP 通信の“見た目”を自由にデザインできる。

例:

  • URI:/api/v2/status
  • User-Agent:Chrome / Edge
  • Header 順序
  • Cookie 名
  • Beacon 間隔(Jitter)
  • レスポンス JSON 構造

これにより、C2 通信は:

「どこにでもありそうな業務アプリ通信」

へと擬態する。

NGFW はなぜ HTTPS C2 を止めにくいのか

NGFW の機能 HTTPS C2 に対する現実
DPI(中身解析) ❌ TLS により不可
ルールマッチ IP / SNI 程度
TLS 復号 全通信は非現実的
振る舞い検知 高コスト・誤検知多

結果として:

HTTPS C2 は「見えているが、止めにくい」通信

となる。

Metasploit における HTTP / HTTPS Listener

Metasploit は HTTP/HTTPS C2 の実装が非常に成熟している。

代表的な機能:

  • reverse_http / reverse_https
  • exploit/multi/handler
  • SSL 証明書指定
  • カスタム URI
  • Proxy / Redirector 構成対応

実運用では:

[ Agent ]
    ↓ HTTPS
[ CDN / Redirector (Apache/Nginx) ]
    ↓ 内部転送
[ Metasploit Handler ]

という 多段構成 が一般的である。

レッドチーム視点でのまとめ

HTTP / HTTPS Listener は:

  • 技術的に最も派手ではない
  • だが 現実世界で最も止められにくい

通信方式である。

「普通すぎる」ことが最大の強み

これが、ほぼすべてのモダン C2 フレームワークが
HTTP / HTTPS を主軸に据えている理由である。

ブルーチーム視点の対抗策(補足)

完全に防ぐことは難しいが、以下は有効である。

  • JA3 / JA4 による TLS 指紋分析
  • Beacon 間隔の異常検知
  • 新規ドメイン・低評価ドメイン監視
  • Egress 制御(誰がどこへ出られるか)

おわりに

HTTP / HTTPS C2 は、
インターネットそのものに溶け込む攻撃通信である。

防御・攻撃いずれの立場でも、
この通信方式の理解は避けて通れない。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?