XRayC2 フレームワーク：AWS X‑Ray の武器化による Command-And-Control プラットフォーム

Hackers Turn AWS X-Ray into Command-and-Control Platform

2025/10/06 gbhackers — Amazon Web Services の分散アプリケーション追跡サービス X‑Ray を武器化して、悪意の通信チャネルを秘密裏に確立する、高度な C2 (Command-And-Control) としての XRayC2 フレームワークが、レッドチームの研究者たちにより公開された。この手法を悪用する攻撃者は、正規のクラウド監視インフラを介して従来のネットワーク・セキュリティ対策を回避し、感染したデバイスを制御してデータを流出させる。

ステルス運用のためのクラウド・インフラの悪用

セキュリティ研究者たちの報告によると、パフォーマンス監視ツールである AWS X‑Ray を、悪意の活動のための双方向通信プラットフォームへと変貌させたものが、XRayC2 ツールキットであるという。

従来における通常の C2 基盤は、攻撃者が制御するサーバに依存するため、不審なドメイン／未知の IP アドレス／異常なネットワーク・パターン／証明書の異常などを検知する機会が生じる。

しかし、正規のクラウド監視インフラ AWS X‑Ray を悪用する攻撃者は、その悪意のトラフィックを、通常のアプリケーション監視データに紛れ込ませることができる。

この手法は、X‑Ray のアノテーション機能を悪用するものだ。この機能により、標準 API を介した書き込みとクエリが可能となり、任意のキーと値のデータが格納されていく。すべての通信は、”xray.[region].amazonaws.com” などの正規の AWS ドメインを経由するため、その検出は著しく困難になる。

XRayC2 フレームワークは、高度な３フェーズの通信プロセスで動作する。第一段階の初期ビーコン・フェーズでは、サービス種別マーカー／固有のインプラント ID／オペレーティング・システムの詳細などの、エンコードされたシステム情報を含むトレース・セグメントの送信により、侵害したシステム自身の識別が確立される。

攻撃者が侵害システムへ指令を送信した後の、第二段階としてのコマンド配信フェーズでは、X‑Ray のアノテーション内にコントローラーが埋め込んだ Base64 エンコード・コマンドが、インプラントの定期的なポーリングにより取得されていく。

第三段階のフェーズでは、侵害されたシステムがトレース・セグメント内に出力データをエンコードすることで、コマンド実行結果を返すことができる。

このシステムは 30〜60 秒のランダムなビーコン間隔を実装し、HMAC-SHA256 署名による正規の AWS SigV4 認証を使用する。それにより、標準的なネットワークログに統合される、正規の AWS API トラフィックが生成されるため、検出は極めて困難となる。なお、XRayC2 をコンフィグするためには、特定の X‑Ray 権限を付与した、専用の AWS IAM ユーザーの作成が必要になる。

オペレーターにとって必要なことは、 AWSXRayDaemonWriteAccess ポリシーと、すべてのリソースに対して、PutTraceSegments／GetTraceSummaries／BatchGetTraces などのアクションを許可するための、カスタム権限の付与である。

それに関連して、サイバー・セキュリティ分野で重要となるのは、どのようなフレームワーク／目的／活動が構成されているのかを、レッドチームとペンテスト・チームが理解することである。

このツールキットは、macOS／Linux／Windows 向けの実行ファイルを含む、依存性のないマルチ・プラットフォーム用インプラントを生成する。これらのスタンドアロン型インプラントは、追加ソフトウェアのインストールを必要とせずに、容易にデプロイされていく。

このコントローラーのインターフェイスは、稼働中のシステムに対する包括的なインプラント管理機能として、リスト表示／ターゲット選択／コマンド送信／インプラント情報などの詳細を提供する。

したがって、デプロイメント後のオペレーターは、AWS X-Ray インフラを介した永続的アクセスを維持しながら、システム・コマンドをリモートで実行できる。このフレームワークの設計により、従来の C2 (Command-And-Control) 手法を即座に検知してきた厳重に監視下であっても、信頼性の高い通信が保証される。

この開発は、正当なクラウド・サービスを悪用する攻撃の進化を示している。したがって、ユーザー組織にとって必要なことは、ネットワーク・トラフィックに加えて、クラウド・サービス API の呼び出しのコンテンツとコンテキストを検査する、包括的な監視戦略の導入となる。

AWS X-Ray の正規の機能である、アノテーションやトレース API を武器化し、ステルス性の高い通信チャネルを確立できるという問題点が指摘されています。正規ドメイン経由で SigV4 署名付きトラフィックを流し、アノテーションにBase64化したコマンドや結果を埋める設計により、従来のネットワーク検知を回避しやすくなるようです。特定のIAM権限と定期ポーリングの組合せが、さらにステルス性を高める点にも注意が必要だと、この記事は指摘しています。よろしければ、AWS で検索も、ご参照ください。