در فضای گسترش تهدیدات سایبری امروزی، نفوذ به یک سیستم فراتر از دسترسی غیرمجاز یا نصب بدافزار است. برای دستیابی به اهداف نهایی، مجرمان سایبری نیاز به حضور غیرقابل شناسایی در سیستم یا شبکه دارند تا دادهها را بر اساس نیازهای خود کنترل یا استخراج کنند. در این مقاله از وبسایت امنیت اینترنت کنشتک درباره حمله فرماندهی و کنترل میخوانیم.
حمله فرمان و کنترل، که به عنوان حملات C&C یا C2 نیز شناخته میشود، یک پیوند مخفی بین سیستم در معرض خطر و سرور C2 ایجاد میکند. این در پشتی امکان دسترسی طولانی مدت، سرقت دادهها، حملات DDoS ، استخراج رمزنگاری یا حتی به خطر افتادن کل شبکه توسط عوامل تهدید را میدهد.
در حالی که بسیاری از سازمانها دفاع محیطی را تقویت میکنند، استفاده از پورتهای شناختهشده برای HTTP، HTTPS، FTP و SSH ممکن است اجازه دسترسی بدون فیلتر را بدهد. عوامل تهدید از طریق این پورتها ارتباط و دسترسیهای خود را با استفاده از روشهای پیشرفته مانند گواهیهای SSL برای رمزگذاری ارتباطات و پنهان کردن ترافیک بهعنوان فعالیت عادی وب، ایجاد میکنند. در نتیجه، عوامل مخرب اکنون با هدف قرار دادن روترها، سوئیچها، دستگاههای IoT، لپتاپها و گوشیهای هوشمند بر نفوذ به شبکهها تمرکز میکنند.
حملات فرماندهی و کنترل چگونه کار می کنند؟
برای اجرای یک حمله C2، عامل مخرب در ابتدا به شناسایی آسیبپذیریهای درون سیستمهای هدف میپردازند. پس از شناسایی آسیبپذیریهای مناسب، آنها از روشهای بهرهبرداری مانند نصب بدافزار از طریق آسیبپذیریهای موجود یا از طریق ابزارهایی مانند USB، ایمیلهای فیشینگ، پسوندهای مرورگر مخرب و تبلیغات مخرب استفاده میکنند که کدهای مخرب را در تبلیغات دیجیتال جاسازی میکند.
هنگامی که دستگاه مورد نظر آلوده شد، یک اتصال با سرور C2 برقرار میشود و یک تماس برای دریافت دستورالعملهای اضافی آغاز میشود.
سپس میزبان در معرض خطر دستورات هدایت شده توسط سرور C2 را اجرا میکند و به مجرمان سایبری اجازه میدهد با استفاده از ابزارهای دسترسی از راه دور (RAT) دسترسی ممتازی به دست آورند. این دسترسی آنها را قادر می سازد تا دستورات را اجرا کرده و دادههای حساس را مخفیانه استخراج کنند. هنگامی که یک دستگاه از راه دور بدون اطلاع یا رضایت کاربر دستکاری میشود، دستگاه زامبی نامیده میشود.
عوامل تهدید میتوانند از سرور C2 استفاده کنند تا میزبان آلوده را هدایت کند تا آسیبپذیریهای میزبانهای دیگر را اسکن کند و هدف آن حرکت جانبی در شبکه باشد. این فرآیند ممکن است منجر به تشکیل شبکهای از میزبانهای آسیبدیده به نام باتنت شود که خطر قابلتوجهی برای کل زیرساخت فناوری اطلاعات یک سازمان ایجاد میکند.
برای جلوگیری از شناسایی، ترافیک C2 اغلب از طریق رمزگذاری مبهم میشود. عوامل تهدید از تکنیکهای فرار از قبیل domain hopping، رمزگذاری یا تونلسازی ترافیک C2 از طریق سرویسهای قانونی استفاده میکنند. الگوریتم های تولید دامنه پویا، پیش بینی یا مسدود کردن زیرساخت C2 را چالش برانگیز میکند. سرورهای C2 از طریق مکانیسمهایی مانند ورودیهای رجیستری، وظایف برنامهریزیشده یا نصب سرویس، پایداری را روی دستگاههای در معرض خطر ایجاد میکنند.
انواع معماریهای فرماندهی و کنترل
عوامل تهدید از ساختارهای مختلف باتنت برای سازماندهی حملات فرماندهی و کنترل، تسهیل اقدامات در مقیاس بزرگ و هماهنگ استفاده میکنند. معماریهای مختلف عبارتند از:
معماری متمرکز شبیه معماری سنتی مشتری-سرور است. کامپیوترهای آلوده از طریق اتصال به سرور C2 به یک باتنت می پیوندند. دستورات از یک منبع IP واحد دریافت میشوند که تشخیص و مسدود کردن را نسبتاً ساده میکند. با این حال، مجرمان سایبری با استفاده از load balancerها، پروکسیها و تغییر مسیرها برای فرار از شناسایی، میزبانی سرورهای C2 در سایتهای جریان اصلی یا سرویسهای ابری، استفاده میکنند.
معماری Peer-to-Peer (P2P). معماری P2P بدون سرور مرکزی کار میکند و تشخیصش را به چالش میکشد. دستورالعملها بین اعضای باتنت ارسال میشوند و انعطافپذیری در برابر حذف را افزایش میدهند. این مدل غیرمتمرکز بهطور مستقل عمل میکند و گرهها دستورات را منتقل و اختلال را سختتر میکنند. عوامل مخرب اغلب از یک سرور C2 متمرکز در کنار راهاندازی P2P استفاده میکنند و در صورت به خطر افتادن سرور اصلی، تداوم را تضمین میکنند.
معماری تصادفی در برخی موارد، مهاجمان استفاده از تنظیماتی را انتخاب میکنند که به عنوان معماری تصادفی شناخته می شود. معماری تصادفی C2 بالاترین چالش را برای تشخیص و پیشگیری ایجاد میکند. فرمانها از منشأهای متنوع و غیرقابل پیشبینی مانند شبکههای تحویل محتوا (CDN)، ایمیلها، محتوای رسانههای اجتماعی (تصاویر، نظرات) و اتاقهای چت IRC سرچشمه میگیرند. مجرمان سایبری از پلتفرمهای قابل اعتماد و رایج استفاده میکنند تا از شناسایی فرار کنند. این مدل معماری خطر را تشدید می کند و مسدود کردن یا مشکوک شدن آنها را دشوار میکند.
دفاع در برابر حملات فرماندهی و کنترل
کنترلها و تکنیکهایی وجود دارد که می تواند با تهدیدات حمله فرماندهی و کنترل مقابله کند:
تجزیه و تحلیل ترافیک شبکه: از ابزارهای پیشرفته نظارت بر شبکه و تکنیک های تجزیه و تحلیل ترافیک برای بررسی و شناسایی الگوها و انحرافات غیرعادی در ترافیک شبکه استفاده کنید. با استفاده از الگوریتمهای یادگیری ماشین و تحلیلهای رفتاری، این راهحلها میتوانند به طور موثر ارتباطات بالقوه فرماندهی و کنترل را مشخص کنند.
پرس و جوهای DNS را نظارت و تجزیه و تحلیل کنید: درخواست های DNS را برای بی نظمی بررسی کنید، زیرا کانال های C2 اغلب در ترافیک معمولی DNS استتار میشوند. شناسایی رفتار غیرعادی DNS، مانند رمزگذاری مخرب از طریق تونل DNS، به پرچمگذاری تهدیدات احتمالی کمک میکند.
از ابزارهای تشخیص استفاده کنید: سیستمهای تشخیص نفوذ و پیشگیری (IDPS) ترافیک C2 را با استفاده از قوانین و الگوریتمهای تعیینشده شناسایی و مسدود میکنند، در حالی که تشخیص و پاسخ نقطه پایانی (EDR) قابلیت مشاهده اقدامات نقطه پایانی را فراهم میکند و فرآیندهای مخرب احتمالی مرتبط با فعالیت C2 را علامتگذاری میکند. این ابزارها باید در سراسر سازمان استفاده شوند.
اجرای برنامه های آموزش و آگاهی کاربر: آموزش کارکنان خود در مورد اقدامات امنیتی میتواند با افزایش دانش در مورد فعالیتهای مخرب مختلف، حملات فرماندهی و کنترل را کاهش دهد. این آموزش عادات امن را تقویت میکند و خطر تهدیدات آنلاین روزانه، به ویژه تلاشهای فیشینگ را کاهش میدهد. به کارمندان توصیه کنید که پیوستهای ایمیل را باز نکنند و روی پیوندهای ایمیل کلیک نکنند.
نتیجه
حمله فرماندهی و کنترل نشان دهنده یک تهدید دائمی در چشم انداز در حال تکامل امنیت سایبری است. عاملان تهدید را قادر می سازد تا به تدریج کنترل یک دستگاه یا سیستم را به دست آورند. سازمانها باید یک استراتژی دفاعی چند وجهی را برای مقابله مؤثر با تاکتیکهای پنهانی به کار گیرند.
منبع: https://www.tripwire.com/state-of-security/what-are-command-and-control-attacks
