حمله فرماندهی و کنترل چیست؟

0
80
حمله فرماندهی و کنترل چیست؟

در فضای گسترش تهدیدات سایبری امروزی، نفوذ به یک سیستم فراتر از دسترسی غیرمجاز یا نصب بدافزار است. برای دستیابی به اهداف نهایی، مجرمان سایبری نیاز به حضور غیرقابل شناسایی در سیستم یا شبکه دارند تا داده‌ها را بر اساس نیازهای خود کنترل یا استخراج کنند. در این مقاله از وب‌سایت امنیت اینترنت کنش‌‌تک درباره حمله فرماندهی و کنترل می‌خوانیم.

حمله فرمان و کنترل، که به عنوان حملات C&C یا C2 نیز شناخته می‌شود، یک پیوند مخفی بین سیستم در معرض خطر و سرور C2 ایجاد می‌کند. این در پشتی امکان دسترسی طولانی مدت، سرقت داده‌ها، حملات DDoS ، استخراج رمزنگاری یا حتی به خطر افتادن کل شبکه توسط عوامل تهدید را می‌دهد.

در حالی که بسیاری از سازمان‌ها دفاع محیطی را تقویت می‌کنند، استفاده از پورت‌های شناخته‌شده برای HTTP، HTTPS، FTP و SSH ممکن است اجازه دسترسی بدون فیلتر را بدهد. عوامل تهدید از طریق این پورت‌ها ارتباط و دسترسی‌های خود را با استفاده از روش‌های پیشرفته مانند گواهی‌های SSL برای رمزگذاری ارتباطات و پنهان کردن ترافیک به‌عنوان فعالیت عادی وب، ایجاد می‌کنند. در نتیجه، عوامل مخرب اکنون با هدف قرار دادن روترها، سوئیچ‌ها، دستگاه‌های IoT، لپ‌تاپ‌ها و گوشی‌های هوشمند بر نفوذ به شبکه‌ها تمرکز می‌کنند.

حملات فرماندهی و کنترل چگونه کار می کنند؟

برای اجرای یک حمله C2، عامل مخرب در ابتدا به شناسایی آسیب‌پذیری‌های درون سیستم‌های هدف می‌پردازند. پس از شناسایی آسیب‌پذیری‌های مناسب، آن‌ها از روش‌های بهره‌برداری مانند نصب بدافزار از طریق آسیب‌پذیری‌های موجود یا از طریق ابزارهایی مانند USB، ایمیل‌های فیشینگ، پسوندهای مرورگر مخرب و تبلیغات مخرب استفاده می‌کنند که کدهای مخرب را در تبلیغات دیجیتال جاسازی می‌کند.

هنگامی که دستگاه مورد نظر آلوده شد، یک اتصال با سرور C2 برقرار می‌شود و یک تماس برای دریافت دستورالعمل‌های اضافی آغاز می‌شود.

سپس میزبان در معرض خطر دستورات هدایت شده توسط سرور C2 را اجرا می‌کند و به مجرمان سایبری اجازه می‌دهد با استفاده از ابزارهای دسترسی از راه دور (RAT) دسترسی ممتازی به دست آورند. این دسترسی آنها را قادر می سازد تا دستورات را اجرا کرده و داده‌های حساس را مخفیانه استخراج کنند. هنگامی که یک دستگاه از راه دور بدون اطلاع یا رضایت کاربر دستکاری می‌شود، دستگاه زامبی نامیده می‌شود.

عوامل تهدید می‌توانند از سرور C2 استفاده کنند تا میزبان آلوده را هدایت کند تا آسیب‌پذیری‌های میزبان‌های دیگر را اسکن کند و هدف آن حرکت جانبی در شبکه باشد. این فرآیند ممکن است منجر به تشکیل شبکه‌ای از میزبان‌های آسیب‌دیده به نام بات‌نت شود که خطر قابل‌توجهی برای کل زیرساخت فناوری اطلاعات یک سازمان ایجاد می‌کند.

برای جلوگیری از شناسایی، ترافیک C2 اغلب از طریق رمزگذاری مبهم می‌شود. عوامل تهدید از تکنیک‌های فرار از قبیل domain hopping، رمزگذاری یا تونل‌سازی ترافیک C2 از طریق سرویس‌های قانونی استفاده می‌کنند. الگوریتم های تولید دامنه پویا، پیش بینی یا مسدود کردن زیرساخت C2 را چالش برانگیز می‌کند. سرورهای C2 از طریق مکانیسم‌هایی مانند ورودی‌های رجیستری، وظایف برنامه‌ریزی‌شده یا نصب سرویس، پایداری را روی دستگاه‌های در معرض خطر ایجاد می‌کنند.

انواع معماری‌های فرماندهی و کنترل

عوامل تهدید از ساختارهای مختلف بات‌نت برای سازماندهی حملات فرماندهی و کنترل، تسهیل اقدامات در مقیاس بزرگ و هماهنگ استفاده می‌کنند. معماری‌های مختلف عبارتند از:

معماری متمرکز شبیه معماری سنتی مشتری-سرور است. کامپیوترهای آلوده از طریق اتصال به سرور C2 به یک بات‌نت می پیوندند. دستورات از یک منبع IP واحد دریافت می‌شوند که تشخیص و مسدود کردن را نسبتاً ساده می‌کند. با این حال، مجرمان سایبری با استفاده از load balancer‌ها، پروکسی‌ها و تغییر مسیرها برای فرار از شناسایی، میزبانی سرورهای C2 در سایت‌های جریان اصلی یا سرویس‌های ابری، استفاده می‌کنند.

معماری Peer-to-Peer (P2P). معماری P2P بدون سرور مرکزی کار می‌کند و تشخیص‌ش را به چالش می‌کشد. دستورالعمل‌ها بین اعضای بات‌نت ارسال می‌شوند و انعطاف‌پذیری در برابر حذف را افزایش می‌دهند. این مدل غیرمتمرکز به‌طور مستقل عمل می‌کند و گره‌ها دستورات را منتقل و اختلال را سخت‌تر می‌کنند. عوامل مخرب اغلب از یک سرور C2 متمرکز در کنار راه‌اندازی P2P استفاده می‌کنند و در صورت به خطر افتادن سرور اصلی، تداوم را تضمین می‌کنند.

معماری تصادفی در برخی موارد، مهاجمان استفاده از تنظیماتی را انتخاب می‌کنند که به عنوان معماری تصادفی شناخته می شود. معماری تصادفی C2 بالاترین چالش را برای تشخیص و پیشگیری ایجاد می‌کند. فرمان‌ها از منشأهای متنوع و غیرقابل پیش‌بینی مانند شبکه‌های تحویل محتوا (CDN)، ایمیل‌ها، محتوای رسانه‌های اجتماعی (تصاویر، نظرات) و اتاق‌های چت IRC سرچشمه می‌گیرند. مجرمان سایبری از پلتفرم‌های قابل اعتماد و رایج استفاده می‌کنند تا از شناسایی فرار کنند. این مدل معماری خطر را تشدید می کند و مسدود کردن یا مشکوک شدن آنها را دشوار می‌کند.

دفاع در برابر حملات فرماندهی و کنترل

کنترل‌ها و تکنیک‌هایی وجود دارد که می تواند با تهدیدات حمله فرماندهی و کنترل مقابله کند:

تجزیه و تحلیل ترافیک شبکه: از ابزارهای پیشرفته نظارت بر شبکه و تکنیک های تجزیه و تحلیل ترافیک برای بررسی و شناسایی الگوها و انحرافات غیرعادی در ترافیک شبکه استفاده کنید. با استفاده از الگوریتم‌های یادگیری ماشین و تحلیل‌های رفتاری، این راه‌حل‌ها می‌توانند به طور موثر ارتباطات بالقوه فرماندهی و کنترل را مشخص کنند.

پرس و جوهای DNS را نظارت و تجزیه و تحلیل کنید: درخواست های DNS را برای بی نظمی بررسی کنید، زیرا کانال های C2 اغلب در ترافیک معمولی DNS استتار می‌شوند. شناسایی رفتار غیرعادی DNS، مانند رمزگذاری مخرب از طریق تونل DNS، به پرچم‌گذاری تهدیدات احتمالی کمک می‌کند.

از ابزارهای تشخیص استفاده کنید: سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) ترافیک C2 را با استفاده از قوانین و الگوریتم‌های تعیین‌شده شناسایی و مسدود می‌کنند، در حالی که تشخیص و پاسخ نقطه پایانی (EDR) قابلیت مشاهده اقدامات نقطه پایانی را فراهم می‌کند و فرآیندهای مخرب احتمالی مرتبط با فعالیت C2 را علامت‌گذاری می‌کند. این ابزارها باید در سراسر سازمان استفاده شوند.

اجرای برنامه های آموزش و آگاهی کاربر: آموزش کارکنان خود در مورد اقدامات امنیتی می‌تواند با افزایش دانش در مورد فعالیت‌های مخرب مختلف، حملات فرماندهی و کنترل را کاهش دهد. این آموزش عادات امن را تقویت می‌کند و خطر تهدیدات آنلاین روزانه، به ویژه تلاش‌های فیشینگ را کاهش می‌دهد. به کارمندان توصیه کنید که پیوست‌های ایمیل را باز نکنند و روی پیوندهای ایمیل کلیک نکنند.

نتیجه

حمله فرماندهی و کنترل نشان دهنده یک تهدید دائمی در چشم انداز در حال تکامل امنیت سایبری است. عاملان تهدید را قادر می سازد تا به تدریج کنترل یک دستگاه یا سیستم را به دست آورند. سازمان‌ها باید یک استراتژی دفاعی چند وجهی را برای مقابله مؤثر با تاکتیک‌های پنهانی به کار گیرند.

منبع: https://www.tripwire.com/state-of-security/what-are-command-and-control-attacks

مقاله قبلی۵ اشتباه رایج مدیریت رازها در سیستم‌ها
مقاله بعدیکاهش خطرات سایبری با مدیریت پیکربندی امنیتی – SCM

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.