وبلاگ

C2 چیست؟ زیرساخت فرماندهی و کنترل ( Command and Control Infrastructure )

یک حمله سایبری موفقیت آمیز چیزی فراتر از وارد کردن پای شما به درب یک سازمان غیرقانونی است. مهاجم برای اینکه سود واقعی داشته باشد، باید پایداری خود را در محیط هدف حفظ کند، با دستگاه‌های آلوده یا آسیب‌دیده در داخل شبکه ارتباط برقرار کند و به طور بالقوه داده‌های حساس را استخراج کند. کلید انجام تمام این وظایف یک زیرساخت قوی فرماندهی و کنترل یا “C2” است. C2 چیست؟ در این پست، به این سوال پاسخ می‌دهیم و به نحوه استفاده دشمنان از این کانال‌های مخفی کانال‌های ارتباطی برای انجام حملات بسیار پیچیده نگاه می‌کنیم. همچنین نحوه شناسایی و دفاع در برابر حملات مبتنی بر C2 را بررسی خواهیم کرد.

 

C2 چیست؟

زیرساخت فرماندهی و کنترل که با نام‌های C2 یا C&C نیز شناخته می‌شود، مجموعه‌ای از ابزارها و تکنیک‌هایی است که مهاجمان برای حفظ ارتباط با دستگاه‌های آسیب‌دیده پس از بهره‌برداری اولیه از آن‌ها استفاده می‌کنند. مکانیسم های خاص بین حملات بسیار متفاوت است، اما C2 به طور کلی شامل یک یا چند کانال ارتباطی مخفی بین دستگاه های یک سازمان قربانی و پلتفرمی است که مهاجم کنترل می کند. این کانال‌های ارتباطی برای صدور دستورالعمل‌ها به دستگاه‌های در معرض خطر، دانلود محموله‌های مخرب اضافی و انتقال داده‌های دزدیده شده به دشمن استفاده می‌شوند.

 

C2 به اشکال مختلف وجود دارد. در زمان نگارش، چارچوب MITER ATT&CK 16 تکنیک مختلف فرماندهی و کنترل را فهرست می کند که هر کدام دارای تعدادی تکنیک فرعی است که در حملات سایبری گذشته مشاهده شده است. یک استراتژی متداول این است که با سایر انواع ترافیک قانونی که ممکن است در سازمان هدف استفاده شود، مانند HTTP/HTTPS یا DNS ترکیب شود. مهاجمان ممکن است اقدامات دیگری را برای پنهان کردن تماس‌های C&C خود انجام دهند، مانند استفاده از رمزگذاری یا انواع غیرعادی رمزگذاری داده‌ها.

 

 

پلت‌فرم‌های فرمان و کنترل ممکن است راه‌حل‌های کاملاً سفارشی‌سازی شده یا محصولات خارج از قفسه باشند. پلتفرم های محبوبی که توسط مجرمان و آزمایش کننده های نفوذ به طور یکسان استفاده می شود عبارتند از Cobalt Strike، Covenant، Powershell Empire و Armitage.

تعدادی اصطلاح وجود دارد که ممکن است در کنار C2 یا C&C نیز بشنوید:

 

زامبی چیست؟

زامبی یک رایانه یا نوع دیگری از دستگاه متصل است که به نوعی بدافزار آلوده شده است و می تواند از راه دور توسط یک حزب مخرب بدون اطلاع یا رضایت مالک واقعی کنترل شود. در حالی که برخی از ویروس‌ها، تروجان‌ها و سایر برنامه‌های ناخواسته پس از آلوده کردن دستگاه، اقدامات خاصی را انجام می‌دهند، بسیاری از بدافزارها عمدتاً برای باز کردن مسیری به زیرساخت C2 مهاجم وجود دارند. سپس می‌توان این ماشین‌های «زامبی» را برای انجام هر تعداد کار، از ارسال ایمیل‌های هرزنامه گرفته تا شرکت در حملات انکار سرویس توزیع‌شده در مقیاس بزرگ (DDoS) ربود.

 

بات نت چیست؟

بات نت مجموعه ای از ماشین های زامبی است که برای یک هدف غیرقانونی مشترک ثبت نام شده اند. این می تواند هر چیزی از استخراج ارز دیجیتال گرفته تا آفلاین کردن وب سایت از طریق حمله انکار سرویس توزیع شده (DDoS) باشد. بات‌نت‌ها معمولاً حول یک زیرساخت مشترک C2 متحد می‌شوند. همچنین برای هکرها معمول است که دسترسی به بات‌نت‌ها را در نوعی «حمله به عنوان سرویس» به مجرمان دیگر بفروشند.

 

Beaconing چیست؟

Beaconing به فرآیند تماس دستگاه آلوده به خانه به زیرساخت C2 مهاجم برای بررسی دستورالعمل ها یا بار(payload)های اضافی، اغلب در مدت زمانی منظم اشاره دارد. برای جلوگیری از شناسایی، برخی از انواع بدافزارها در مدت زمانی تصادفی نشان می دهند یا ممکن است برای مدتی قبل از تماس با خانه خاموش باشند.

 

هکرها با یک زیرساخت فرماندهی و کنترل چه کاری می توانند انجام دهند؟

اکثر سازمان‌ها دفاع‌های محیطی نسبتاً مؤثری دارند که برقراری ارتباط از دنیای خارج به شبکه سازمان را بدون شناسایی برای دشمن دشوار می‌کند. با این حال، ارتباطات خارجی اغلب به شدت کنترل یا محدود نمی شود. این بدان معناست که بدافزار معرفی شده از طریق یک کانال متفاوت – مثلاً یک ایمیل فیشینگ یا وب‌سایت در معرض خطر – اغلب می‌تواند یک کانال ارتباطی در جهت خروجی ایجاد کند که در غیر این صورت غیرممکن است. با باز بودن این کانال، یک هکر می تواند اقدامات دیگری را انجام دهد، مانند:

 

حرکت جانبی از طریق سازمان قربانی

هنگامی که یک مهاجم جایگاه اولیه خود را پیدا کند، معمولاً به دنبال حرکت جانبی در سراسر سازمان می‌باشد و از کانال‌های C2 خود برای ارسال اطلاعات در مورد میزبان‌ (host) های دیگری که ممکن است آسیب‌پذیر یا اشتباه پیکربندی شده باشند، استفاده می‌کنند. اولین ماشینی که در معرض خطر قرار می‌گیرد ممکن است هدف ارزشمندی نباشد، اما به عنوان سکوی پرتاب برای دسترسی به بخش‌های حساس‌تر شبکه عمل می‌کند. این فرآیند ممکن است چندین بار تکرار شود تا زمانی که مهاجم به یک هدف با ارزش مانند یک سرور فایل یا کنترل کننده دامنه دسترسی پیدا کند.

 

حملات چند مرحله ای

پیچیده ترین حملات سایبری اغلب از چندین مرحله متمایز تشکیل شده است. اغلب، عفونت اولیه شامل یک «دراپر (dropper)» یا دانلودکننده است که به زیرساخت C2 حریف تماس می‌گیرد و بار (payload) های مخرب اضافی را دانلود می‌کند. این معماری ماژولار به مهاجم اجازه می دهد تا کمپین هایی را اجرا کند که هم به طور گسترده توزیع شده و هم متمرکز هستند. قطره چکان ممکن است هزاران سازمان را آلوده کند و به مهاجم این امکان را می دهد که انتخابی باشد و بدافزار مرحله دوم سفارشی را برای سودآورترین اهداف بسازد. این مدل همچنین به کل صنعت غیرمتمرکز جرایم سایبری اجازه می دهد. برای مثال، یک گروه دسترسی اولیه ممکن است دسترسی به یک هدف اصلی مانند یک بانک یا بیمارستان را به یک باج افزار باج افزار بفروشد.

 

استخراج داده ها

کانال‌های C2 اغلب دو طرفه هستند، به این معنی که مهاجم می‌تواند علاوه بر ارسال دستورالعمل‌ها به میزبان‌های در معرض خطر، داده‌ها را از محیط هدف دانلود یا «نفوذ کند(exfiltrate) ». بسته به سازمان قربانی، داده های دزدیده شده می تواند هر چیزی باشد، از اسناد نظامی طبقه بندی شده تا شماره کارت اعتباری یا اطلاعات شخصی. باندهای باج افزار به طور فزاینده ای از استخراج داده ها به عنوان یک تاکتیک اضافی برای اخاذی از اهداف خود استفاده می کنند. حتی اگر سازمان بتواند داده ها را از نسخه های پشتیبان بازیابی کند، مجرمان تهدید به انتشار اطلاعات دزدیده شده و بالقوه شرم آور خواهند کرد.

 

 

استفاده های دیگر

همانطور که قبلاً گفته شد، بات نت ها اغلب برای راه اندازی حملات DDoS علیه وب سایت ها و سایر خدمات استفاده می شوند. دستورالعمل هایی برای حمله به سایت ها از طریق C2 ارائه می شود. انواع دیگر دستورالعمل ها را نیز می توان برای ماشین های زامبی در C2 صادر کرد. به عنوان مثال، بات‌نت‌های بزرگ استخراج کریپتو شناسایی شده‌اند. حتی کاربردهای عجیب و غریب تری نیز تئوری شده است، از استفاده از دستورات C2 برای برهم زدن انتخابات یا دستکاری در بازارهای انرژی.

 

مدل های فرمان و کنترل

اگرچه گزینه‌های متنوعی برای پیاده‌سازی C2 وجود دارد، اما معماری بین بدافزار و پلت‌فرم C2 معمولاً چیزی شبیه به یکی از مدل‌های زیر است:

 

متمرکز

یک مدل فرمان و کنترل متمرکز بسیار شبیه به رابطه سنتی مشتری و سرور عمل می کند. یک «مشتری (client) » بدافزار با یک سرور C2 تماس می گیرد و دستورالعمل ها را بررسی می کند. در عمل، زیرساخت سمت سرور مهاجم اغلب بسیار پیچیده تر از یک سرور است و ممکن است شامل تغییر مسیرها، متعادل کننده بار ( load balancers) و اقدامات دفاعی برای شناسایی محققان امنیتی و مجریان قانون باشد. خدمات ابر عمومی و شبکه های تحویل محتوا (CDN) اغلب برای میزبانی یا پنهان کردن فعالیت C2 استفاده می شوند. همچنین برای هکرها معمول است که وب سایت های قانونی را به خطر بیاندازند و از آنها برای میزبانی سرورهای فرمان و کنترل بدون اطلاع مالک استفاده کنند.

 

فعالیت C2 اغلب به سرعت کشف می شود و دامنه ها و سرورهای مرتبط با یک کمپین ممکن است در عرض چند ساعت پس از اولین استفاده حذف شوند. برای مبارزه با این، بدافزارهای مدرن اغلب با لیستی از سرورهای مختلف C2 کدگذاری می‌شوند تا سعی و دسترسی داشته باشند. پیچیده ترین حملات لایه های دیگری از مبهم سازی را معرفی می کنند. بدافزار مشاهده شده است که لیستی از سرورهای C2 را از مختصات GPS تعبیه شده در عکس ها و از نظرات اینستاگرام دریافت می کند!

 

Peer-to-Peer (P2P)

در مدل P2P C&C، دستورات فرمان و کنترل به صورت غیرمتمرکز ارائه می‌شوند و اعضای یک بات‌نت پیام‌ها را بین یکدیگر ارسال می‌کنند. برخی از ربات ها ممکن است همچنان به عنوان سرور عمل کنند، اما هیچ گره مرکزی یا “مستر” وجود ندارد. این امر باعث می شود که اختلال ایجاد شود بسیار دشوارتر از یک مدل متمرکز، اما همچنین می تواند صدور دستورالعمل برای کل بات نت را برای مهاجم دشوارتر کند. شبکه‌های P2P گاهی اوقات به‌عنوان مکانیزم بازگشتی در مواردی که کانال C2 اولیه مختل شود، استفاده می‌شود.

 

خارج از باند ( Out of Band ) و تصادفی

تعدادی از تکنیک های غیرمعمول برای صدور دستورالعمل ها به میزبان های آلوده مشاهده شده است. هکرها از پلتفرم های رسانه های اجتماعی به عنوان پلتفرم های غیر متعارف C2 استفاده گسترده ای کرده اند زیرا به ندرت مسدود می شوند. پروژه ای به نام Twittor با هدف ارائه یک پلت فرم فرمان و کنترل کاملاً کاربردی تنها با استفاده از پیام های مستقیم در توییتر انجام می شود. همچنین مشاهده شده است که هکرها از Gmail، اتاق‌های گفتگو IRC و حتی Pinterest برای ارسال پیام‌های C&C به میزبان‌های در معرض خطر استفاده می‌کنند. همچنین فرض شده است که زیرساخت فرماندهی و کنترل می‌تواند کاملاً تصادفی باشد، با یک مهاجم که بخش‌های زیادی از اینترنت را به امید یافتن میزبان آلوده اسکن می‌کند.

 

تشخیص و جلوگیری از فرماندهی و کنترل ترافیک (Command and Control Traffic)

شناسایی ترافیک C2 بسیار دشوار است، زیرا مهاجمان تمام تلاش خود را می کنند تا مورد توجه قرار نگیرند. با این حال، فرصت فوق‌العاده‌ای برای مدافعان وجود دارد، زیرا اختلال در C2 می‌تواند از تبدیل شدن یک عفونت بدافزار به یک حادثه جدی‌تر مانند نقض داده جلوگیری کند. در واقع، بسیاری از حملات سایبری در مقیاس بزرگ در ابتدا زمانی کشف شدند که محققان متوجه فعالیت C2 شدند. در اینجا چند تکنیک کلی برای شناسایی و توقف فرمان و کنترل ترافیک در شبکه خود آورده شده است:

 

نظارت و فیلتر کردن ترافیک خروجی

بسیاری از سازمان ها توجه کمی به ترافیک خروجی از شبکه خود دارند و در عوض بر تهدیدات موجود در ترافیک ورودی تمرکز می کنند. این عدم آگاهی، فعالیت های فرماندهی و کنترل مهاجم را تسهیل می کند. قوانین دیوار آتش خروجی که به دقت طراحی شده اند می توانند مانع از توانایی دشمن در باز کردن کانال های مخفی ارتباط شوند. برای مثال، محدود کردن درخواست‌های DNS خروجی فقط به سرورهایی که سازمان کنترل می‌کند، می‌تواند خطر تونل‌سازی DNS را کاهش دهد. از پروکسی ها می توان برای بررسی ترافیک وب خروجی استفاده کرد، اما کاربران باید مراقب پیکربندی بازرسی SSL/TLS باشند، زیرا هکرها رمزگذاری را همراه با بقیه وب پذیرفته اند. خدمات فیلتر DNS همچنین می تواند برای کمک به جلوگیری از تماس C2 به دامنه های مشکوک یا تازه ثبت شده استفاده شود.

 

برای Beacons تماشا کنید

بیکن‌ها می‌توانند نشانه‌ای از فعالیت فرمان و کنترل در شبکه شما باشند، اما تشخیص آنها اغلب دشوار است. اکثر راه‌حل‌های IDS/IPS از چراغ‌های مرتبط با چارچوب‌های خارج از قفسه مانند Metasploit و Cobalt Strike استفاده می‌کنند، اما مهاجمان به راحتی می‌توانند آن‌ها را سفارشی‌سازی کنند تا تشخیص را بسیار دشوارتر کنند. برای تحلیل عمیق تر ترافیک شبکه (NTA)، از ابزاری مانند RITA می توان استفاده کرد. در برخی موارد، تیم‌های شکار تهدید تا آنجا پیش می‌روند که با استفاده از ابزاری مانند Wireshark یا tcpdump، زباله‌های بسته را به صورت دستی بازرسی می‌کنند.

 

لاگ (log) و بازرسی

 

 

جمع‌آوری فایل‌های گزارش از هرچه بیشتر منابع ممکن هنگام جستجوی نشانه‌های فرمان و کنترل ترافیک ضروری است. اغلب، تجزیه و تحلیل دقیق برای تمایز بین ترافیک C2 و برنامه های کاربردی قانونی مورد نیاز است. تحلیلگران امنیتی ممکن است نیاز به جستجوی الگوهای غیرعادی داشته باشند، بارهای ارسال درخواست‌های HTTPS یا DNS به ظاهر خوش‌خیم را بررسی کنند و انواع دیگر تحلیل‌های آماری را انجام دهند. هرچه حجم اطلاعات بیشتری که تحلیلگر یا شکارچی تهدید باید با آن کار کند، بهتر است. راه‌حل‌های ثبت از راه دور و SIEM می‌توانند به این کار کمک کنند.

 

همبستگی داده ها از چندین منبع

هدف اصلی حفظ زیرساخت فرمان و کنترل انجام برخی اقدامات خاص مانند دسترسی به فایل های مهم یا آلوده کردن میزبان های بیشتر است. جستجوی فعالیت های C&C هم از منظر داده و هم از دیدگاه شبکه، احتمال کشف حملات سایبری استتار شده را افزایش می دهد.

 

نتیجه

زیرساخت فرماندهی و کنترل برای مهاجمان ضروری است – و نشان دهنده فرصتی برای مدافعان است. مسدود کردن ترافیک C&C یا از بین بردن زیرساخت C2 دشمن می تواند یک حمله سایبری را در مسیر خود متوقف کند. مقابله با C2 هرگز نباید تنها تمرکز یک سازمان باشد و باید بخشی از یک برنامه امنیت اطلاعات بزرگتر باشد که شامل شیوه های خوب “بهداشت سایبری”، آموزش آگاهی از امنیت برای کارکنان، و سیاست ها و رویه های سنجیده شده است. این گام‌ها می‌توانند تا حد زیادی به کاهش تهدید ناشی از زیرساخت‌های فرماندهی و کنترل کمک کنند.

اشتراک گذاری:

مطالب زیر را حتما مطالعه کنید

دیدگاهتان را بنویسید