Что такое командно-контрольная кибератака?

Командно-административные атаки позволяют хакерам захватывать целые сети или превращать отдельные ПК в армию ботов, которых они могут использовать для своих ставок. Возможно, вы недавно слышали о них, когда США нарушили работу ботнета «Cyclops Blink», взломав некоторые из зараженных устройств и удалив вредоносное ПО на борту, но вот что вам следует знать об этих атаках.

Что такое командно-административная атака?

Кибератаки командования и управления (сокращенно C2 или C&C) происходят, когда злоумышленники проникают в систему и устанавливают вредоносное ПО, которое позволяет им удаленно отправлять команды с сервера C2 на зараженные устройства. Первое зараженное устройство часто автоматически заражает любые другие устройства, с которыми оно взаимодействует, поэтому в случае профессиональной сети вся система может быть быстро взята под контроль злоумышленника.

Существует множество способов, которыми злоумышленники могут заразить устройство, и столько же виды атак они могут выполняться, как только они находятся внутри системы. В соответствии с фирма по кибербезопасности Palo Alto Networksболее 80% вредоносных программ используют систему доменных имен (DNS) для идентификации серверов C2 для кражи данных и распространения вредоносных программ.

Как работает C2?

иллюстрация конвертов, висящих в воздухе, закрепленных рыболовными крючками, чтобы предположить фишинговую атаку по электронной почте

(Иллюстрация: GOCMEN/Getty Images)

Во-первых, злоумышленник должен получить вредоносное ПО внутри целевой системы. Это может быть с помощью методов социальной инженерии, таких как фишинговые электронные письма, поддельные рекламные объявления, ведущие на вредоносные веб-сайты, или подозрительные плагины и приложения для браузера. Они часто используют текущие события или поп-культуру, чтобы привлечь внимание людей, от COVID-19 до видеоигр. В некоторых случаях злоумышленники физически взламывают систему с помощью чего-то вроде USB-накопителя с вредоносным ПО.

Когда кто-то неосознанно загружает вредоносное ПО, щелкнув ссылку или установив, казалось бы, законное обновление программного обеспечения, он отправляет заранее определенную команду обратно на свой хост-сервер, часто через надежные и неотслеживаемые маршруты передачи. DNS — один из таких маршрутов.

После отправки команды зараженное устройство становится «ботом», цифровым зомби, находящимся под контролем злоумышленника. Затем он распространяет вредоносное ПО на другие устройства, превращая их в ботов, расширяя зону контроля злоумышленника и создавая сеть ботов или «ботнет».

Многие C2-атаки рассчитаны на то, чтобы как можно дольше оставаться незамеченными, особенно при краже данных. Согласно Palo Alto Networks, другие общее использование C2 включает:

  • Взлом хост-компьютеров для добычи криптовалюты

  • Уничтожение данных

  • Отключение машин, включая целые сети

  • Удаленная перезагрузка зараженных устройств для нарушения работы системы

  • Поражение зараженных сетей распределенными атаками типа «отказ в обслуживании» (DDoS)

C2 также можно использовать для шифрования данных и удержания систем в заложниках при атаках программ-вымогателей.

Легко представить, насколько катастрофическими могут быть последствия, если злоумышленник получит контроль над критически важной системой, такой как больничная компьютерная сеть или водоочистное сооружение, и отключит ее. Поскольку все больше и больше устройств и систем, таких как коммунальные службы, подключаются к Интернету вещей (IoT), защита от атак C2 имеет решающее значение.

Как структурированы атаки Command and Control

снимок пола темной серверной комнаты с краем пола и серверами, обведенными синим цветом

(Изображение: Жасмин Мердан/Getty Images)

В первые дни существования Интернета злоумышленники имели под своим контролем физический сервер и направляли атаки оттуда. Сегодня многие C2-атаки осуществляются с серверов в облаке.

Иногда злоумышленник будет использовать один сервер, на который вредоносное ПО отправит сообщение для получения инструкций. Это можно легко смягчить, так как IP-адрес сервера C2 может быть обнаружен и заблокирован для предотвращения дальнейшего обмена данными. Однако, если злоумышленник использует прокси для маскировки своего истинного IP-адреса, защита становится более сложной.

Чаще всего мошенники используют несколько серверов для проведения атаки. Это могут быть несколько серверов, выполняющих одну и ту же атаку для резервирования на случай, если один из них выйдет из строя, или группы серверов, организованные в иерархию.

Злоумышленники также могут заставить зараженные компьютеры в ботнете действовать как одноранговая (P2P) сеть, взаимодействуя друг с другом случайным образом, а не с центрального сервера. Это затрудняет обнаружение источника инфекции. По словам производителя программного обеспечения для кибербезопасности DNSFilter, этот подход часто используется вместе с атакой на один сервер — если сервер выйдет из строя, вариант P2P будет резервным.

Рекомендовано нашими редакторами

Как защититься от атаки C2

несколько рядов иллюстрированных замков

(Иллюстрация: Флавио Коэльо/Getty Images)

Хотя сама мысль о том, что кто-то другой может взять под контроль вашу систему, вас огорчает, вы можете кое-что сделать, чтобы защитить себя.

Во-первых, это образование. Обучите любого, у кого есть доступ к вашей сети, методам социальной инженерии, которые часто используют кибер-злоумышленники. Как только люди узнают знаки, их гораздо меньше шансов обмануть. Покажите им, как выглядит фишинговое письмо, как оценить безопасность загрузки и т. д.

Во-вторых, используйте брандмауэр. Хотя он не защитит от злоумышленников, уже находящихся внутри вашей системы, он поможет удержать людей, которые не могут обманным путем проникнуть внутрь. Брандмауэры ограничивают объем данных, которые могут входить и выходить из сети, и могут подозрительные URL-адреса и IP-адреса.

Блог о кибербезопасности Tripwire также рекомендует сегментацию сети как защитная мера. Разделение вашей сети на более мелкие подсети, которые могут общаться друг с другом только в пределах своей группы, предотвратит широкое распространение любого вредоносного ПО, преодолевшего другие средства защиты. Они используют пример систем точек продаж (POS) в розничных магазинах. Они могут общаться только с очень ограниченным числом других машин в сети, поэтому даже если вредоносное ПО для очистки кредитных карт попадет внутрь, оно не сможет передать украденные данные очень далеко.

Это верно не только для C2-атак, но и практически для любой киберугрозы. Образование и хорошая защита не являются надежными, но они имеют большое значение для предотвращения атак и утечек данных.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *