Seguridad cibernética: ataque a través de comando y control

Un servidor C&C-Command and Control es básicamente una computadora en control de un hacker o cualquier ciberdelincuente, etc. que se usa maliciosamente para comandar los diversos sistemas que ya han sido explotados o comprometidos por malware, y estos servidores también se usan para recibir los datos deseados por el pirata informático de las máquinas comprometidas de forma encubierta en la red de destino. Ahora, dado que los servidores de C&C pueden pasar fácilmente y combinarse fácilmente en la red de destino, muchas organizaciones han comenzado a utilizar varios tipos de servicios basados ​​en la nube.

¿Cómo funciona C&C?

En esta sección, discutiremos varias técnicas de comando y control utilizadas.

1. Los hackeos de organizaciones vengativas han ido en aumento en la década más reciente. Uno de los exploits más dañinos, que se ejecuta con frecuencia a través de DNS, se cultiva a través de comando y control, también llamado C2 o C&C.

2. En primer lugar, el hacker inicia el ataque explotando una máquina dentro de la organización de destino, que puede estar detrás de un firewall. Esto debería ser posible en una variedad de formas:

• Mediante phishing.
• A través de vulnerabilidades en los complementos del navegador.
• Mediante la ejecución de diversos programas o aplicaciones maliciosas en el equipo víctima.

3. A partir de entonces, cuando una computadora en la red de destino se ha visto comprometida y se ha establecido la conexión, la máquina explotada reconoce la máquina atacante enviándole señales para recibir más comandos.

4. Esta máquina víctima ejecutará los comandos adicionales provenientes del servidor C&C del pirata informático y puede descargar a la fuerza otro software de soporte para el ataque adicional.

5. Ahora, el hacker ha cumplido la misión de tener el control total de la máquina de la víctima y, por lo tanto, puede ejecutar cualquier tipo de código malicioso en ella. Del mismo modo, el código malicioso se moverá más fácilmente a través de la red; comprende completamente toda la infraestructura de TI de una organización, lo que en última instancia conducirá a la creación de una red de máquinas ya comprometidas, también conocida como botnet.

6. De esta forma, un pirata informático puede obtener acceso completo no autorizado a la red del objetivo.

7. C&C funciona como el campamento base al que se dirige el malware utilizado en el ataque, informa de forma recursiva los datos husmeados o robados de forma recursiva, y también se almacenan en el servidor los diversos comandos de apoyo al ataque. Para pivotar a través de una red, un paso vital en este tipo de ataque es establecer las conexiones C&C.

8. Los servidores C2 también sirven como sede para las máquinas ya explotadas en una botnet. Muy bien se puede utilizar para dispersar comandos que pueden tomar datos, propagar malware, molestar a las administraciones web y, a partir de ahí, el cielo es el límite.

9. Además de permitir que los agresores obtengan información, la presencia de programas de C&C en una máquina también puede perturbar aplicaciones genuinas y provocar el abuso de activos futuros.

Arquitectura de botnet en el servidor C&C

1. El modelo centralizado: una especie de modelo de red en el que todos los clientes interactúan con un sistema central, que es el operador que actúa en todas las correspondencias.

• Este sistema/servidor almacenaría tanto las correspondencias como los datos de la cuenta del cliente.
• La mayoría de las etapas de mensajes de texto abiertos utilizan una organización unificada.
• Además, se llama estructura de mainframe concentrada.

2. Modelo de igual a igual: la administración de sistemas o computación de igual a igual es un diseño de aplicación distribuido que asigna tareas o tareas pendientes entre pares.

• Los pares o Nodes conectados son miembros equipotentes igualmente favorecidos en la aplicación.
• Se dice que enmarcan una organización compartida de centros.
• Los Nodes hacen que algunos de sus activos, por ejemplo, preparar energía, almacenamiento circular o transmisión de datos de la organización, sean fácilmente accesibles para otros miembros de la organización, sin necesidad de coordinación focal por parte de trabajadores o hosts estables.
• Los pares son los dos proveedores y compradores de activos, en lugar del modelo convencional de trabajador del cliente en el que la utilización y la gracia de los activos están aisladas.
• El desarrollo de marcos P2P cooperativos va más allá de la era de los amigos que hacen cosas comparativas mientras comparten activos, y buscan otros compañeros que puedan adquirir extraordinarios activos y habilidades para una red virtual, lo que les permite participar en empresas más importantes que las que pueden ser. cultivadas por amigos singulares, pero que son útiles a todos los compañeros.

3. Modelo aleatorio: las botnets geográficas arbitrarias no dependen de ningún mainframe de C&C; más bien, todos los pedidos de botnet se envían legítimamente comenzando con un bot y luego al siguiente en caso de que se consideren «marcados» por algunos métodos poco comunes que muestren que han comenzado desde el propietario de la botnet u otro cliente aprobado.

• Tales redes de bots tienen una latencia extremadamente alta y, con frecuencia, tendrán en cuenta numerosos bots dentro de una red de bots para que un analista los identifique con solo un bot capturado.
• Tipos comúnmente extraordinarios de la correspondencia codificada de bot a bot en organizaciones distribuidas abiertas se utilizan en relación con una geografía de mainframe de C&C más desconcertante (por ejemplo, en la botnet TDL-4) para entregar redes de bots que son especialmente difíciles de destruir.

Exploits usando C&C

• Robo de información: la información delicada, por ejemplo, registros presupuestarios, se puede duplicar o mover al servidor de un pirata informático.
• Cierre: un agresor puede cerrar una o varias máquinas o, en cualquier caso, cerrar toda la red de la organización.
• Reiniciar: las PC explotadas pueden salir de la nada y constantemente pueden cerrarse y reiniciarse, lo que puede perturbar las tareas típicas en curso.
• Distribuya la denegación de servicio: los ataques DDoS abruman el servidor con numerosas requests, o podemos hacerlo con un gran tráfico de Internet. Una vez que se establece una red de bots, un atacante puede indicar a cada bot que envíe una solicitud a la dirección IP de destino, creando un atasco de tráfico de requests para la dirección de destino o el servidor de destino. Por lo tanto, se niega el acceso al tráfico legítimo. Este tipo de ataque se puede utilizar para derribar un sitio web.

Detección de mando y control

1. Observar todo el tráfico entrante y saliente en una premisa continua: El control propone explícitamente observar enormes intercambios de información o tráfico no aprobado, que pueden ocurrir durante el período de exfiltración de un exploit.

2. Distinguir anomalías en los flujos de red: el control sugiere buscar inconsistencias en el tráfico de la organización que podrían demostrar la acción de malware (por ejemplo, correspondencias C2) o de máquinas ya explotadas.

3. Registro de consultas de DNS y aplicación de verificaciones de notoriedad: el control propone verificar las demandas de DNS en busca de esfuerzos para determinar áreas malévolas conocidas o esfuerzos para realizar comunicaciones C2.

4. Utilización de boicots: Utilice boicots para denegar correspondencia de máquinas internas hacia hosts malévolos conocidos.

5. Guardar el tráfico de la organización: guardar el tráfico de la empresa y las advertencias en los marcos de análisis de registros para una investigación y evaluación adicionales, capturar y desglosar la información del flujo de red para detectar movimientos extraños.

6. Distinguir la utilización no aprobada del cifrado en el tráfico de red: el razonamiento aquí es que el malware puede utilizar el cifrado para exfiltrar información delicada sin pasar por los conjuntos de herramientas (por ejemplo, DLP) que dependen del examen del contenido del tráfico.

7. Obstaculización de la entrada: Obstaculización de la entrada a lugares de extracción de correo electrónico y movimiento de registros realizados. Buscando irregularidades en los diseños de atascos en horas pico.

8. Fragmentación de la organización como lo indican las zonas de confianza: esta acción puede ser especialmente beneficiosa si se divide para aislar claramente los segmentos de alto riesgo de la organización de las partes de alta estima.

9. Garantice que los clientes cuestionen los servidores DNS internos: Garantice que el cliente cuestione los servidores DNS internos que se pueden observar y cuyas respuestas se pueden controlar para, por ejemplo, evitar el ingreso a áreas no autorizadas o malintencionadas conocidas.

Controles para C&C

1. Examinar todo el tráfico entrante y saliente: aún más definitivamente, es fundamental revisar el tráfico entrante en busca de indicios de hacks que puedan provocar contaminación, para ataques de phishing, drive-by-download o ex-abundantes. El tráfico saliente debe desglosarse en busca de señales de que se ha configurado un canal C2 (exfiltración de datos, registro de comando y control, etc.).

2. Reconocer y revisar peculiaridades en el tráfico de la organización:El razonamiento es que los ataques enfocados dependen de una base que es menos propensa a ser recordada en su mayor parte por arreglos accesibles de puntos finales perniciosos o a utilizar métodos C2 (p. ej., convenciones) que también utilizan malware generalizado. En ese momento, concentrarse en distinguir el tráfico anormal permitiría a los protectores detectar estos nuevos peligros. Hay dos presunciones básicas en esta propuesta: las agresiones dirigidas provocan tráfico extraño y los medios de tráfico anormal que regatean. Los dos supuestos pueden ser reexaminados cada cierto tiempo: hemos visto que los agresores están inventando nuevas técnicas para “mezclarse” con el tráfico típico; la calidad del tráfico en una organización puede cambiar a medida que se presentan nuevas administraciones y dispositivos.

3. Reúna subconjuntos explícitos del tráfico de la organización: recopile subconjuntos explícitos del tráfico de la organización, específicamente preguntas de DNS e información de flujo de red. La inspiración para esta sugerencia es que podría ser más sencillo recopilar dicha información, en lugar de establecer un marco de verificación de organización completo. Como hemos visto en nuestra encuesta de escritura, se han ideado algunas metodologías para distinguir el tráfico C2 que depende de estas fuentes de información.

4. Diseñar la organización: Diseñar la organización ayuda a mejorar el control del tráfico y la promulgación de reacciones a los asaltos. Por ejemplo, al tener un punto de acceso único por donde pasa todo el tráfico, una asociación se disecciona y puede reorganizar la variedad completa de tráfico y su investigación.

5. Controle la acción de la red: esto ayudará a distinguir los intentos de asociación de los puntos finales conocidos como peligrosos, es decir, las direcciones IP y las áreas que se sabe que se utilizan en los ataques. El razonamiento es que se puede evitar la admisión a estos puntos finales, esperando que se configuren los componentes adecuados (por ejemplo, cortafuegos). La perspectiva clave aquí es obviamente la de hacer y mantener arreglos excepcionales de puntos finales nocivos.