Pengantar

Di balik lalu lintas HTTP dan HTTPS yang tampak normal, sering kali tersembunyi komunikasi berbahaya antara malware dan server pengendalinya. Teknik ini dikenal sebagai Beaconing dan Command and Control (C2), yang memungkinkan penyerang mempertahankan kendali atas sistem korban tanpa terdeteksi dalam waktu lama.

Karena HTTP/S adalah protokol yang hampir selalu diizinkan melewati firewall, malware memanfaatkannya sebagai saluran komunikasi tersembunyi. Akibatnya, banyak organisasi tidak menyadari bahwa sistem mereka telah menjadi bagian dari infrastruktur serangan hingga dampaknya sudah meluas.

Memahami Konsep Beaconing dan Command & Control (C2)

Beaconing dan C2 merupakan bagian inti dari siklus hidup malware modern.

Apa Itu Beaconing?

Beaconing adalah pola komunikasi periodik yang dilakukan malware ke server C2. Sistem yang terinfeksi akan secara rutin “memanggil pulang” untuk:

  • Melaporkan status sistem

  • Mengirim data hasil pencurian

  • Menunggu perintah lanjutan

Pola ini biasanya memiliki interval waktu yang konsisten atau sedikit acak agar sulit dikenali.

baca juga : Seni Menipu 2.0: Saat AI Menjadi Senjata Baru Para Scammer

Peran Command & Control (C2)

Command & Control adalah infrastruktur yang digunakan penyerang untuk mengelola malware dari jarak jauh. Melalui C2, penyerang dapat:

  • Mengirim perintah eksekusi

  • Mengunduh payload tambahan

  • Mengaktifkan ransomware atau spyware

Dalam banyak kasus, C2 sengaja disamarkan agar terlihat seperti layanan web biasa.

Mengapa HTTP/S Menjadi Media Favorit Malware

Penggunaan HTTP dan HTTPS bukan tanpa alasan.

Trafik yang Dianggap “Normal”

Sebagian besar organisasi mengizinkan trafik web keluar tanpa inspeksi mendalam. Malware memanfaatkan kondisi ini untuk menyamarkan komunikasinya sebagai:

  • Request API

  • Update aplikasi

  • Telemetri sistem

Enkripsi HTTPS sebagai Pelindung Aktivitas Jahat

Dengan HTTPS, payload komunikasi terenkripsi sehingga:

  • Sulit dianalisis tanpa SSL inspection

  • Menyembunyikan perintah dan data eksfiltrasi

  • Menghindari deteksi berbasis signature tradisional

Ciri-Ciri Beaconing dalam Trafik Jaringan

Meskipun tersembunyi, beaconing tetap meninggalkan jejak yang dapat dianalisis.

Pola Interval Waktu yang Konsisten

Salah satu indikator paling umum adalah koneksi keluar ke domain atau IP yang sama dengan interval waktu relatif tetap, misalnya setiap 60 atau 300 detik.

Ukuran Paket yang Seragam

Beaconing sering menggunakan request dan response dengan ukuran data yang hampir sama, berbeda dengan trafik web normal yang lebih variatif.

baca juga : Bukan Sekadar Chatbot: Selamat Datang di Era Agentic AI

Domain atau URL yang Tidak Lazim

C2 sering menggunakan:

  • Domain baru atau jarang diakses

  • URL dengan path acak

  • User-Agent yang tidak umum

Teknik Deteksi Beaconing dan C2

Pendekatan deteksi modern mengandalkan analisis perilaku, bukan hanya signature.

Network Traffic Analysis (NTA)

NTA memantau pola komunikasi untuk mengidentifikasi:

  • Koneksi berulang ke tujuan yang sama

  • Anomali waktu dan volume trafik

  • Perilaku yang menyimpang dari baseline normal

Threat Intelligence dan IOC

Penggunaan threat intelligence membantu mengkorelasikan:

  • IP address berbahaya

  • Domain C2 yang dikenal

  • Pola komunikasi malware tertentu

Mapping ke MITRE ATT&CK

Beaconing dan C2 telah dipetakan secara jelas dalam framework MITRE ATT&CK, sehingga memudahkan analis untuk mengaitkan temuan dengan teknik serangan yang terdokumentasi.

Risiko Jika Beaconing Tidak Terdeteksi

Kegagalan mendeteksi C2 dapat menyebabkan:

  • Pencurian data berkelanjutan

  • Penyebaran malware lanjutan

  • Aktivasi ransomware di tahap akhir

  • Infrastruktur internal digunakan untuk serangan lain

Dalam banyak kasus, malware dapat bertahan selama berbulan-bulan hanya karena komunikasi C2 tidak teridentifikasi.

MITRE menjelaskan teknik Command and Control sebagai bagian penting dari taktik adversary modern (dikutip dari MITRE ATT&CK).

baca juga : Privileged Access Management (PAM): Strategi Mengunci Akses Admin agar Tidak Menjadi Pintu Masuk Ransomware

Kesimpulan

Beaconing dan Command & Control merupakan teknik fundamental yang memungkinkan malware beroperasi secara tersembunyi di dalam jaringan. Dengan menyamarkan komunikasi melalui HTTP/S, penyerang dapat menghindari mekanisme keamanan tradisional dan mempertahankan akses jangka panjang.

Mengidentifikasi pola beaconing membutuhkan pendekatan berbasis perilaku, visibilitas trafik yang baik, serta pemahaman terhadap teknik C2 modern. Bagi organisasi, kemampuan mendeteksi komunikasi tersembunyi ini adalah kunci untuk menghentikan serangan sebelum mencapai fase yang lebih merusak.

Related Posts: