Что такое «сервер управления и контроля» для вредоносных программ

0
1371
просмотров
Что такое «сервер управления и контроля» для вредоносных программ

Будь то утечка данных в Facebook (Meta) или глобальные атаки программ-вымогателей, киберпреступность — большая проблема. Вредоносные программы и программы-вымогатели все чаще используются злоумышленниками для эксплуатации компьютеров людей без их ведома по разным причинам.

Что такое командование и контроль

Одним из популярных методов, используемых злоумышленниками для распространения вредоносного ПО и управления им, является «командование и управление», которое также называется C2 или C&C. Это когда злоумышленники используют центральный сервер для скрытого распространения вредоносного ПО на компьютеры людей, выполнения команд вредоносной программы и получения контроля над устройством.

C&C — особенно коварный метод атаки, потому что всего один зараженный компьютер может вывести из строя всю сеть. Как только вредоносная программа запускается на одной машине, C&C сервер может дать ей команду на копирование и распространение, что может случиться легко, поскольку она уже прошла сетевой брандмауэр.

После заражения сети злоумышленник может выключить ее или зашифровать зараженные устройства, чтобы заблокировать доступ пользователей. Атаки программы-вымогателя WannaCry в 2017 году сделали именно это, заразив компьютеры в критически важных учреждениях, таких как больницы, заблокировав их и потребовав выкуп в биткойнах.

Как работает C&C

Атаки C&C начинаются с первоначального заражения, которое может происходить по таким каналам, как:

  • фишинговые письма со ссылками на вредоносные веб-сайты или вложения, загруженные вредоносным ПО
  • уязвимости в некоторых плагинах браузера
  • загрузка зараженного программного обеспечения, которое выглядит законным

Вредоносное ПО проникает сквозь брандмауэр в виде чего-то, что выглядит безобидным, например, вроде кажущегося законным обновление программного обеспечения, срочного сообщения электронной почты о нарушении безопасности или безобидного прикрепленного файла.

После заражения устройство отправляет сигнал обратно на хост-сервер. Затем злоумышленник может взять под свой контроль зараженное устройство почти так же, как сотрудники службы технической поддержки могут взять на себя управление вашим компьютером при устранении проблемы. Компьютер становится «ботом» или «зомби» под контролем злоумышленника.

Читайте также  Что такое VPN-туннель и как он работает

Затем зараженная машина привлекает другие машины (либо в той же сети, либо с которыми она может взаимодействовать), заражая их. В конечном итоге эти машины образуют сеть или «ботнет», контролируемую злоумышленником.

Этот вид атак может быть особенно опасным в корпоративной среде. Инфраструктурные системы, такие как базы данных больниц или средства связи для экстренного реагирования, могут быть скомпрометированы. В случае взлома базы данных могут быть украдены большие объемы конфиденциальных данных. Некоторые из этих атак предназначены для работы в фоновом режиме на неограниченный срок, как в случае угона компьютеров для добычи криптовалюты без ведома пользователя.

Структура C&C

Сегодня главный сервер часто размещается в облаке, но раньше это был физический сервер, находившийся под прямым контролем злоумышленника. Злоумышленники могут структурировать свои C&C серверы в соответствии с несколькими различными структурами или топологиями:

  • Топология «звезда»: боты организованы вокруг одного центрального сервера
  • Многосерверная топология: несколько C&C серверов используются для резервирования
  • Иерархическая топология: несколько серверов C&C организованы в многоуровневую иерархию групп
  • Случайная топология: зараженные компьютеры взаимодействуют как одноранговый ботнет (ботнет P2P)

Злоумышленники использовали протокол ретрансляционного чата (IRC) для более ранних кибератак, поэтому сегодня он широко признан и защищен. C&C — это способ для злоумышленников обойти меры защиты, направленные на киберугрозы на основе IRC.

Еще в 2017 году хакеры использовали такие приложения, как Telegram, в качестве центров управления вредоносными программами. Программа под названием ToxicEye, которая способна красть данные, была обнаружена в 130 случаях только в этом году.

Что могут сделать злоумышленники, получив контроль

Когда злоумышленник получает контроль над сетью или даже над отдельным компьютером в этой сети, он может:

  • украсть данные, передавая или копируя документы и информацию на свой сервер
  • заставить одну или несколько машин выключаться или постоянно перезапускаться, нарушая работу
  • проводить распределенные атаки типа «отказ в обслуживании» (DDoS)
Читайте также  DisplayPort 2: что нового

Как защитить себя

Как и в случае с большинством кибератак, защита от атак C&C сводится к комбинации хорошей цифровой гигиены и защитного программного обеспечения. Вам следует:

  • узнать признаки фишингового письма
  • будьте осторожны при переходе по ссылкам и вложениям
  • регулярно обновляйте свою систему и используйте качественное антивирусное программное обеспечение
  • подумайте об использовании генератора паролей или найдите время, чтобы придумать уникальные пароли. Менеджер паролей может создать и запомнить их за вас

В большинстве кибератак от пользователя требуется что-то сделать для активации вредоносной программы, например щелкнуть ссылку или открыть вложение. Подходя к любой цифровой переписке с учетом этой возможности, вы будете в большей безопасности в Интернете.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите свой комментарий!
Пожалуйста, введите ваше имя здесь

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.