什么是命令与控制?
攻击者用来分发和控制恶意软件的一种流行方法是“命令和控制”,也称为 C2 或 C&C。这是当不良行为者使用中央服务器秘密地将恶意软件分发到人们的机器上,对恶意程序执行命令并控制设备时。
C&C 是一种特别阴险的攻击方法,因为只要一台受感染的计算机就可以关闭整个网络。一旦恶意软件在一台机器上自行执行,C&C 服务器可以命令它复制和传播——这很容易发生,因为它已经通过了网络防火墙。
一旦网络被感染,攻击者就可以将其关闭或加密受感染的设备以将用户拒之门外。2017 年的 WannaCry 勒索软件攻击正是通过感染医院等关键机构的计算机、将其锁定并要求以比特币支付赎金来实现的。
C&C 如何运作?
C&C 攻击从最初的感染开始,可能通过以下渠道发生:
- 带有指向恶意网站的链接或包含加载了恶意软件的附件的网络钓鱼电子邮件。
- 某些浏览器插件中的漏洞。
- 下载看起来合法的受感染软件。
恶意软件会以看似无害的方式悄悄越过防火墙,例如看似合法的软件更新、通知您存在安全漏洞的紧急电子邮件或无害的文件附件。
一旦设备被感染,它就会向主机服务器发送一个信号。然后,攻击者可以以与技术支持人员在解决问题时控制您的计算机几乎相同的方式来控制受感染的设备。计算机在攻击者的控制下变成了“机器人”或“僵尸”。
受感染的机器然后通过感染其他机器(在同一网络中,或可以与之通信)招募其他机器。最终,这些机器形成一个由攻击者控制的网络或“僵尸网络”。
这种攻击在公司环境中尤其有害。医院数据库或应急响应通信等基础设施系统可能会受到损害。如果数据库遭到破坏,大量敏感数据可能会被盗。其中一些攻击旨在永久在后台运行,例如计算机被劫持以在用户不知情的情况下挖掘加密货币。
C&C 结构
今天,主服务器通常托管在云中,但它曾经是攻击者直接控制下的物理服务器。攻击者可以根据几种不同的结构或拓扑来构建他们的 C&C 服务器:
- 星型拓扑:机器人围绕一台中央服务器组织。
- 多服务器拓扑:多台 C&C 服务器用于冗余。
- 分层拓扑:多个 C&C 服务器被组织成一个分层的组层次结构。
- 随机拓扑:受感染的计算机作为对等僵尸网络(P2P 僵尸网络)进行通信。
攻击者在早期的网络攻击中使用了互联网中继聊天 (IRC)协议,因此今天它在很大程度上得到了认可和防范。C&C 是攻击者绕过针对基于 IRC 的网络威胁的防护措施的一种方式。
一直追溯到 2017 年,黑客一直在使用 Telegram 等应用程序作为恶意软件的命令和控制中心。仅今年就在130 个实例中发现了一个名为ToxicEye的程序,该程序能够在他们不知情的情况下通过计算机窃取数据和记录人员。
攻击者在获得控制权后可以做什么
一旦攻击者控制了网络甚至该网络中的一台机器,他们就可以:
- 通过将文档和信息传输或复制到他们的服务器来窃取数据。
- 强制一台或多台机器关闭或不断重新启动,从而中断操作。
- 进行分布式拒绝服务 (DDoS)攻击。
如何保护自己
与大多数网络攻击一样,针对 C&C 攻击的保护归结为良好的数字卫生和保护软件的结合。你应该:
- 了解网络钓鱼电子邮件的迹象。
- 小心点击链接和附件。
- 定期更新您的系统并运行高质量的防病毒软件。
- 考虑使用密码生成器或花时间想出唯一的密码。密码管理器可以为您创建和记住它们。
大多数网络攻击都要求用户执行某些操作来激活恶意程序,例如单击链接或打开附件。考虑到这种可能性来处理任何数字通信将使您在线更安全。