Beaconing je technika, kterou malware pravidelně odesílá drobné množství dat na řídicí a kontrolní server (C2), čímž dává najevo, že je stále aktivní a čeká na další pokyny.

Co je to beaconing?

Beaconing je technika používaná malwarem nebo škodlivým kódem, kdy infikovaný počítač v pravidelných intervalech odesílá malé signály (tzv. „beacony“) na řídicí a kontrolní server (C2 – Command and Control). Tím útočníkovi sděluje, že je aktivní, připraven a čeká na další instrukce. Tento mechanismus pomáhá útočníkovi zůstat ve skrytu a řídit kompromitované systémy na dálku – často i celé měsíce bez odhalení.

Jak se beaconing projevuje v praxi

Příklady situací:

• Malware se po úspěšné infekci připojuje každých 10 minut na konkrétní IP adresu nebo doménu a „hlásí se“ bez zjevné aktivity.
• Infikovaný firemní notebook, který je připojený k internetu, odesílá datové pakety o velikosti několika bajtů do cizí sítě.
• Firemní síťový provoz obsahuje pravidelné, na první pohled neškodné požadavky na podezřelé domény (např. xyz-update.com).
• Útočník na základě beaconingu pozná, které systémy jsou aktivní, a poté spustí fázi útoku (např. krádež dat nebo šifrování).

Beaconing je velmi tichý a nenápadný. Neprovádí destruktivní akce hned – jeho cílem je připravit půdu pro řízený útok. Proto se často dlouho přehlíží, pokud není síť správně monitorována.

Beaconing vs. jiné pojmy – jaký je rozdíl?

• Beaconing vs. malware
  Beaconing je technika, malware je konkrétní program, který ji může využívat. Ne každý malware beaconing používá.
• Beaconing vs. exfiltrace dat
  Beaconing je fáze, kdy se systém hlásí útočníkovi. Exfiltrace je aktivní odesílání ukradených dat ven z firmy.
• Beaconing vs. command and control (C2)
  C2 je infrastruktura, ke které se malware připojuje. Beaconing je konkrétní způsob komunikace mezi napadeným zařízením a C2.

Porozumění rozdílům je důležité pro efektivní detekci a obranu. Zatímco jiné hrozby působí viditelněji, beaconing je často prvním tichým znamením, že něco není v pořádku.

Jak odhalit a řešit beaconing ve vaší firmě

Doporučené kroky:

1. Zajistěte monitoring síťového provozu – zejména DNS a HTTP(S) komunikace.
2. Sledujte opakující se síťové požadavky s malým objemem dat.
3. Využívejte nástroje pro detekci anomálií a síťové chování (např. NDR, SIEM).
4. Pravidelně aktualizujte bezpečnostní řešení (antivirus, EDR, firewall).
5. Nastavte pravidla pro blokaci přístupu k neznámým nebo podezřelým doménám.
6. Provádějte forenzní analýzu podezřelých zařízení.

Beaconing bývá často prvním signálem, že firma má v síti aktivního útočníka. Problém je, že bez cíleného sledování ho většina firem vůbec nezachytí. Nejde o chybu antiviru – beaconing probíhá nenápadně, někdy i šifrovaně. Proto je potřeba aktivní přístup ke sledování síťové aktivity a využití specializovaných nástrojů. Včasná detekce může rozhodnout o tom, zda bude útok zastaven včas, nebo firmu zasáhne naplno.