SecBoard
Zurück zur Übersicht
Tooling

ICMP-Ghost-A-Fileless-x64-Assembly-C2-Agent — A fileless C2 framework written in pure x64 Linux Assembly with zero libc dependencies. Features dynamic protocol pivoting between raw ICMP sockets and DNS (UDP/53) via in-memory VTable manipulation. 100% direct syscalls, no disk writes, and strict mathematical packet authentication.

GitHub Trending·
Originalartikel lesen bei GitHub Trending

A fileless C2 framework written in pure x64 Linux Assembly with zero libc dependencies. Features dynamic protocol pivoting between raw ICMP sockets and DNS (UDP/53) via in-memory VTable manipulation. 100% direct syscalls, no disk writes, and strict mathematical packet authentication. · Sprache: Assembly · Topics: assembly, c2-framework, compression-algorithm, dns-tunneling, edr-evasion, evasion · ⭐ 40 Stars

Kurzfassung

Der Artikel beschreibt ICMP-Ghost-A-Fileless-x64-Assembly-C2-Agent als dateiloses C2-Framework in x64-Linux-Assembly ohne libc-Abhängigkeiten. Genannt werden Protokollwechsel zwischen ICMP und DNS über UDP/53, direkte Systemaufrufe, keine Schreibvorgänge auf Datenträger und Paket-Authentifizierung.

Relevanz für Manager / CISOs
Priorität:Mittel
Betroffene

Linux-Umgebungen, in denen solche C2-Kommunikationsmuster auftreten könnten; konkrete Opfer sind nicht im Artikel angegeben.

Warum relevant

Dateilose C2-Kommunikation über ICMP oder DNS kann klassische dateibasierte Erkennung umgehen und erfordert Netzwerk- und Verhaltensüberwachung.

Realistisches Worst Case

Ein realistischer Worst Case ist verdeckte C2-Kommunikation in einer kompromittierten Linux-Umgebung.

Handlungsempfehlung

ICMP- und DNS-Verkehr auf ungewöhnliche Muster überwachen und Linux-Hosts auf verdächtige speicherbasierte Ausführung prüfen.

Defensive Validierung / Purple-Team Checks
  • Prüfen, ob ungewöhnlicher ICMP-Verkehr zwischen internen Hosts und externen Zielen erkannt wird.
  • DNS-Verkehr über UDP/53 auf ungewöhnliche Volumina, Zielmuster oder Payload-Merkmale überwachen.
  • Linux-Erkennung auf verdächtige direkte Systemaufrufe und dateilose Ausführungssignale abstimmen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Command and ControlT1095 Non-Application Layer ProtocolHighDas Framework nutzt raw ICMP sockets.
Command and ControlT1071.004 Application Layer Protocol: DNSHighDas Framework unterstützt DNS über UDP/53.
Defense EvasionT1027 Obfuscated Files or InformationLowDer Artikel nennt dateilose Ausführung und keine Disk Writes, aber keine konkrete Obfuskation.
Offene Punkte
  • Keine beobachtete Kampagne, Opfer, IOCs oder Einsatzfälle sind im Artikel angegeben.
  • Konkrete Erkennungsartefakte sind nicht im Artikel angegeben.
Themen
assemblyc2-frameworkcompression-algorithmdns-tunnelingedr-evasionevasionfileless-malwareicmp-protocollinuxlow-level-programming
Vollständigen Artikel lesen bei GitHub Trending