Jitter-Trap という C2 追跡ツール:ビーコン通信のランダム性を逆手にとる戦略とは?

Jitter-Trap: New Method Uncovers Stealthy Beacon Communications

2025/06/19 gbhackers — Varonis Threat Labs が発表したのは、画期的な検出手法 Jitter-Trap である。この手法は、サイバー攻撃ライフサイクルの中で、最も検知が難しいフェーズの一つである、ポスト・エクスプロイトの攻撃と C2 通信を特定する方法に、革命をもたらすものだと期待されている。脅威アクターたちが検出の回避に用いる、ランダム性の活用という画期的な手法により、従来からの検出回避戦術が、強力な検出ツールへと変貌していくという。

ビーコン通信を検出する際の課題

現代における大半のサイバー攻撃は、侵害されたエンドポイントとリモート C2 サーバの間の、定期的な自動通信であるビーコン通信に依存している。

これらのビーコンは、国家に支援される APT と犯罪者により利用されるものであり、長期間にわたって検知されない状況を維持することもある。

その際に攻撃者たちが用いるのは、Cobalt StrikeSliver/Empire/Mythic/Havoc などの、高度なポスト・エクスプロイト攻撃フレームワークである。

本来において、これらのフレームワークは、正当なレッドチームによる演習/侵入テストのために設計されたものだ。しかし、現在では、脅威アクターたちによるセキュリティ対策の回避に用いられ、アクセス維持/コマンド実行/ラテラル・ムーブメント/データ窃取などで日常的に悪用されている。

これらのフレームワークの主な特徴は、以下のとおりである:

  • モジュール型アーキテクチャ:他のペイロード/スクリプト/モジュールなどを、動的にロード/追加する。
  • C2 通信:HTTP/HTTPS/DNS/SMB/TCP/WebSocket などのプロトコルを介して、ステルス性を維持しながらデータの窃取とコマンド実行を行う。
  • 回避技術:難読化/暗号化/トラフィック・シェーピングなどを用いて、Firewall/EDR/SIEM などを回避する。
  • 永続化とラテラル・ムーブメント:権限昇格/認証情報ダンプ/長期アクセス・サポートを達成する。
  • 柔軟な C2 プロファイル:Microsoft アップデートや GitHub リクエストなどの正当なサービスを模倣するための、カスタマイズ可能なネットワーク・トラフィックを提供する。
ビーコン検出:従来型と進化型

従来から検出/分析では、IOC (Indicator of Compromise)/ファイルとレジストリの変更/PowerShell アクティビティ/サンドボックス/静的・動的なネットワーク・ビーコン・パターンなどが対象となる。

Here we can see two examples of benign traffic, with different intervals but consistent sleep times. Google.com with a 600sec sleeptime and amazon with 60sec. 
Here we can see two examples of benign traffic, with different intervals but consistent sleep times. Google.com with a 600sec sleeptime and amazon with 60sec. 


その一方で、攻撃者たちの進化も繰り返されている。たとえば、未知の IOC を持つ新しいサンプルの使用/難読化による Yara ルールの回避/プロセス・インジェクションや、未管理の PowerShell と突く EDR 検出などによる、検出の回避が繰り返されている。

挙動検出:スリープ/ジッター/トラフィックの分析

Jitter-Trap のコアは、HTTP/S ベースのビーコンにおける、挙動分析とネットワーク分析への集中である。重要なパラメータは2つである。

  • スリープ:次のコマンドをチェックインするまで、ビーコンが待機する固定間隔。
  • ジッター:スリープ間隔にランダム性が加わることで、ビーコン通信の予測/検出が困難になる。

リアルタイム・コラボレーションを必要とする SNS などのツールでも、固定間隔のポーリングが使用されるが、悪意のビーコンで多用されるのは、パターンを不明瞭にするためのジッターの導入である。

Distribution of beacon-like patterns within benign traffic. Sleep without jitter (poll) - 8.25%; Jitter-like traffic – 3.95% 
Distribution of beacon-like patterns within benign traffic. Sleep without jitter (poll) – 8.25%; Jitter-like traffic – 3.95% 


Jitter-Trap は、リクエスト間の時間差の分布を分析することで、ビーコンのパターンを追跡する。通常において、ジッターを取り込むビーコンは、間隔が均一に分布するが、正規の安全なトラフィックでは稀なことである。

この均一性を確認するために、コルモゴロフ・スミルノフ検定や、カイ二乗検定などの統計手法が用いられている。

タイミングを超えて:データ・ジッターと URL のランダム性

攻撃者たちは、データ・ジッターを設定し、リクエストにランダムな長さのヌルデータを付加することで、ダウンロード・サイズを均一に分散させるという。

同様に、PoshC2/Sliver などのフレームワークは、各リクエストに対して半ランダムな URL を生成し、正当なトラフィックに紛れ込ませようとする。

PoshC2 traffic events. Generated URLs example
PoshC2 traffic events. Generated URLs example


しかし、このような過剰なランダム性は、たとえば、リクエスト全体における稀な URL の存在などは、それ自体が危険信号となる可能性がある。なぜなら、無害なトラフィックでは、それほど大きな変動を示すことが稀だからである。

Jitter-Trap が示すのは、ビーコン・トラフィックのステルス性を高めるために設計された機能である、ジッター/データ・ランダム性/URL 変動性の検出により、悪意の通信のフィンガープリントの作成が可能なことである。

URLs ratio histogram of benign traffic
URLs ratio histogram of benign traffic

分布の分析に重点を置き、行動シグネチャを認識することで、セキュリティ専門家は、最もステルス性の高いビーコンでさえも発見する能力を大幅に向上させ、高度な脅威の一歩先を行くことが可能になる。

攻撃者たちが革新を続ける状況において、防御側にとって必要なことは、高度な行動分析を導入し、洗練された C2 フレームワークが残す微妙な痕跡を活用することである。

Jitter-Trap が示すのは、現代のサイバー攻撃におけるポスト・エクスプロイト活動を、検知/阻止するための継続的な取り組みにおける大きな進歩である。

ポスト・エクスプロイト段階での検知を強化する Jitter-Trap は、とても興味深いアプローチの第一歩という感じですね。ジッターやタイミングの均一性という、振る舞いに注目する手法が秀逸だと、この記事は指摘しています。検出が困難だとされる C2 通信の分析が可能になると良いですね。よろしければ、カテゴリ SecTools も、ご参照ください。