C2 چیست؟ زیرساخت فرماندهی و کنترل ( Command and Control Infrastructure )
یک حمله سایبری موفقیت آمیز چیزی فراتر از وارد کردن پای شما به درب یک سازمان غیرقانونی است. مهاجم برای اینکه سود واقعی داشته باشد، باید پایداری خود را در محیط هدف حفظ کند، با دستگاههای آلوده یا آسیبدیده در داخل شبکه ارتباط برقرار کند و به طور بالقوه دادههای حساس را استخراج کند. کلید انجام تمام این وظایف یک زیرساخت قوی فرماندهی و کنترل یا “C2” است. C2 چیست؟ در این پست، به این سوال پاسخ میدهیم و به نحوه استفاده دشمنان از این کانالهای مخفی کانالهای ارتباطی برای انجام حملات بسیار پیچیده نگاه میکنیم. همچنین نحوه شناسایی و دفاع در برابر حملات مبتنی بر C2 را بررسی خواهیم کرد.
C2 چیست؟
زیرساخت فرماندهی و کنترل که با نامهای C2 یا C&C نیز شناخته میشود، مجموعهای از ابزارها و تکنیکهایی است که مهاجمان برای حفظ ارتباط با دستگاههای آسیبدیده پس از بهرهبرداری اولیه از آنها استفاده میکنند. مکانیسم های خاص بین حملات بسیار متفاوت است، اما C2 به طور کلی شامل یک یا چند کانال ارتباطی مخفی بین دستگاه های یک سازمان قربانی و پلتفرمی است که مهاجم کنترل می کند. این کانالهای ارتباطی برای صدور دستورالعملها به دستگاههای در معرض خطر، دانلود محمولههای مخرب اضافی و انتقال دادههای دزدیده شده به دشمن استفاده میشوند.
C2 به اشکال مختلف وجود دارد. در زمان نگارش، چارچوب MITER ATT&CK 16 تکنیک مختلف فرماندهی و کنترل را فهرست می کند که هر کدام دارای تعدادی تکنیک فرعی است که در حملات سایبری گذشته مشاهده شده است. یک استراتژی متداول این است که با سایر انواع ترافیک قانونی که ممکن است در سازمان هدف استفاده شود، مانند HTTP/HTTPS یا DNS ترکیب شود. مهاجمان ممکن است اقدامات دیگری را برای پنهان کردن تماسهای C&C خود انجام دهند، مانند استفاده از رمزگذاری یا انواع غیرعادی رمزگذاری دادهها.
پلتفرمهای فرمان و کنترل ممکن است راهحلهای کاملاً سفارشیسازی شده یا محصولات خارج از قفسه باشند. پلتفرم های محبوبی که توسط مجرمان و آزمایش کننده های نفوذ به طور یکسان استفاده می شود عبارتند از Cobalt Strike، Covenant، Powershell Empire و Armitage.
تعدادی اصطلاح وجود دارد که ممکن است در کنار C2 یا C&C نیز بشنوید:
زامبی چیست؟
زامبی یک رایانه یا نوع دیگری از دستگاه متصل است که به نوعی بدافزار آلوده شده است و می تواند از راه دور توسط یک حزب مخرب بدون اطلاع یا رضایت مالک واقعی کنترل شود. در حالی که برخی از ویروسها، تروجانها و سایر برنامههای ناخواسته پس از آلوده کردن دستگاه، اقدامات خاصی را انجام میدهند، بسیاری از بدافزارها عمدتاً برای باز کردن مسیری به زیرساخت C2 مهاجم وجود دارند. سپس میتوان این ماشینهای «زامبی» را برای انجام هر تعداد کار، از ارسال ایمیلهای هرزنامه گرفته تا شرکت در حملات انکار سرویس توزیعشده در مقیاس بزرگ (DDoS) ربود.
بات نت چیست؟
بات نت مجموعه ای از ماشین های زامبی است که برای یک هدف غیرقانونی مشترک ثبت نام شده اند. این می تواند هر چیزی از استخراج ارز دیجیتال گرفته تا آفلاین کردن وب سایت از طریق حمله انکار سرویس توزیع شده (DDoS) باشد. باتنتها معمولاً حول یک زیرساخت مشترک C2 متحد میشوند. همچنین برای هکرها معمول است که دسترسی به باتنتها را در نوعی «حمله به عنوان سرویس» به مجرمان دیگر بفروشند.
Beaconing چیست؟
Beaconing به فرآیند تماس دستگاه آلوده به خانه به زیرساخت C2 مهاجم برای بررسی دستورالعمل ها یا بار(payload)های اضافی، اغلب در مدت زمانی منظم اشاره دارد. برای جلوگیری از شناسایی، برخی از انواع بدافزارها در مدت زمانی تصادفی نشان می دهند یا ممکن است برای مدتی قبل از تماس با خانه خاموش باشند.
هکرها با یک زیرساخت فرماندهی و کنترل چه کاری می توانند انجام دهند؟
اکثر سازمانها دفاعهای محیطی نسبتاً مؤثری دارند که برقراری ارتباط از دنیای خارج به شبکه سازمان را بدون شناسایی برای دشمن دشوار میکند. با این حال، ارتباطات خارجی اغلب به شدت کنترل یا محدود نمی شود. این بدان معناست که بدافزار معرفی شده از طریق یک کانال متفاوت – مثلاً یک ایمیل فیشینگ یا وبسایت در معرض خطر – اغلب میتواند یک کانال ارتباطی در جهت خروجی ایجاد کند که در غیر این صورت غیرممکن است. با باز بودن این کانال، یک هکر می تواند اقدامات دیگری را انجام دهد، مانند:
حرکت جانبی از طریق سازمان قربانی
هنگامی که یک مهاجم جایگاه اولیه خود را پیدا کند، معمولاً به دنبال حرکت جانبی در سراسر سازمان میباشد و از کانالهای C2 خود برای ارسال اطلاعات در مورد میزبان (host) های دیگری که ممکن است آسیبپذیر یا اشتباه پیکربندی شده باشند، استفاده میکنند. اولین ماشینی که در معرض خطر قرار میگیرد ممکن است هدف ارزشمندی نباشد، اما به عنوان سکوی پرتاب برای دسترسی به بخشهای حساستر شبکه عمل میکند. این فرآیند ممکن است چندین بار تکرار شود تا زمانی که مهاجم به یک هدف با ارزش مانند یک سرور فایل یا کنترل کننده دامنه دسترسی پیدا کند.
حملات چند مرحله ای
پیچیده ترین حملات سایبری اغلب از چندین مرحله متمایز تشکیل شده است. اغلب، عفونت اولیه شامل یک «دراپر (dropper)» یا دانلودکننده است که به زیرساخت C2 حریف تماس میگیرد و بار (payload) های مخرب اضافی را دانلود میکند. این معماری ماژولار به مهاجم اجازه می دهد تا کمپین هایی را اجرا کند که هم به طور گسترده توزیع شده و هم متمرکز هستند. قطره چکان ممکن است هزاران سازمان را آلوده کند و به مهاجم این امکان را می دهد که انتخابی باشد و بدافزار مرحله دوم سفارشی را برای سودآورترین اهداف بسازد. این مدل همچنین به کل صنعت غیرمتمرکز جرایم سایبری اجازه می دهد. برای مثال، یک گروه دسترسی اولیه ممکن است دسترسی به یک هدف اصلی مانند یک بانک یا بیمارستان را به یک باج افزار باج افزار بفروشد.
استخراج داده ها
کانالهای C2 اغلب دو طرفه هستند، به این معنی که مهاجم میتواند علاوه بر ارسال دستورالعملها به میزبانهای در معرض خطر، دادهها را از محیط هدف دانلود یا «نفوذ کند(exfiltrate) ». بسته به سازمان قربانی، داده های دزدیده شده می تواند هر چیزی باشد، از اسناد نظامی طبقه بندی شده تا شماره کارت اعتباری یا اطلاعات شخصی. باندهای باج افزار به طور فزاینده ای از استخراج داده ها به عنوان یک تاکتیک اضافی برای اخاذی از اهداف خود استفاده می کنند. حتی اگر سازمان بتواند داده ها را از نسخه های پشتیبان بازیابی کند، مجرمان تهدید به انتشار اطلاعات دزدیده شده و بالقوه شرم آور خواهند کرد.
استفاده های دیگر
همانطور که قبلاً گفته شد، بات نت ها اغلب برای راه اندازی حملات DDoS علیه وب سایت ها و سایر خدمات استفاده می شوند. دستورالعمل هایی برای حمله به سایت ها از طریق C2 ارائه می شود. انواع دیگر دستورالعمل ها را نیز می توان برای ماشین های زامبی در C2 صادر کرد. به عنوان مثال، باتنتهای بزرگ استخراج کریپتو شناسایی شدهاند. حتی کاربردهای عجیب و غریب تری نیز تئوری شده است، از استفاده از دستورات C2 برای برهم زدن انتخابات یا دستکاری در بازارهای انرژی.
مدل های فرمان و کنترل
اگرچه گزینههای متنوعی برای پیادهسازی C2 وجود دارد، اما معماری بین بدافزار و پلتفرم C2 معمولاً چیزی شبیه به یکی از مدلهای زیر است:
متمرکز
یک مدل فرمان و کنترل متمرکز بسیار شبیه به رابطه سنتی مشتری و سرور عمل می کند. یک «مشتری (client) » بدافزار با یک سرور C2 تماس می گیرد و دستورالعمل ها را بررسی می کند. در عمل، زیرساخت سمت سرور مهاجم اغلب بسیار پیچیده تر از یک سرور است و ممکن است شامل تغییر مسیرها، متعادل کننده بار ( load balancers) و اقدامات دفاعی برای شناسایی محققان امنیتی و مجریان قانون باشد. خدمات ابر عمومی و شبکه های تحویل محتوا (CDN) اغلب برای میزبانی یا پنهان کردن فعالیت C2 استفاده می شوند. همچنین برای هکرها معمول است که وب سایت های قانونی را به خطر بیاندازند و از آنها برای میزبانی سرورهای فرمان و کنترل بدون اطلاع مالک استفاده کنند.
فعالیت C2 اغلب به سرعت کشف می شود و دامنه ها و سرورهای مرتبط با یک کمپین ممکن است در عرض چند ساعت پس از اولین استفاده حذف شوند. برای مبارزه با این، بدافزارهای مدرن اغلب با لیستی از سرورهای مختلف C2 کدگذاری میشوند تا سعی و دسترسی داشته باشند. پیچیده ترین حملات لایه های دیگری از مبهم سازی را معرفی می کنند. بدافزار مشاهده شده است که لیستی از سرورهای C2 را از مختصات GPS تعبیه شده در عکس ها و از نظرات اینستاگرام دریافت می کند!
Peer-to-Peer (P2P)
در مدل P2P C&C، دستورات فرمان و کنترل به صورت غیرمتمرکز ارائه میشوند و اعضای یک باتنت پیامها را بین یکدیگر ارسال میکنند. برخی از ربات ها ممکن است همچنان به عنوان سرور عمل کنند، اما هیچ گره مرکزی یا “مستر” وجود ندارد. این امر باعث می شود که اختلال ایجاد شود بسیار دشوارتر از یک مدل متمرکز، اما همچنین می تواند صدور دستورالعمل برای کل بات نت را برای مهاجم دشوارتر کند. شبکههای P2P گاهی اوقات بهعنوان مکانیزم بازگشتی در مواردی که کانال C2 اولیه مختل شود، استفاده میشود.
خارج از باند ( Out of Band ) و تصادفی
تعدادی از تکنیک های غیرمعمول برای صدور دستورالعمل ها به میزبان های آلوده مشاهده شده است. هکرها از پلتفرم های رسانه های اجتماعی به عنوان پلتفرم های غیر متعارف C2 استفاده گسترده ای کرده اند زیرا به ندرت مسدود می شوند. پروژه ای به نام Twittor با هدف ارائه یک پلت فرم فرمان و کنترل کاملاً کاربردی تنها با استفاده از پیام های مستقیم در توییتر انجام می شود. همچنین مشاهده شده است که هکرها از Gmail، اتاقهای گفتگو IRC و حتی Pinterest برای ارسال پیامهای C&C به میزبانهای در معرض خطر استفاده میکنند. همچنین فرض شده است که زیرساخت فرماندهی و کنترل میتواند کاملاً تصادفی باشد، با یک مهاجم که بخشهای زیادی از اینترنت را به امید یافتن میزبان آلوده اسکن میکند.
تشخیص و جلوگیری از فرماندهی و کنترل ترافیک (Command and Control Traffic)
شناسایی ترافیک C2 بسیار دشوار است، زیرا مهاجمان تمام تلاش خود را می کنند تا مورد توجه قرار نگیرند. با این حال، فرصت فوقالعادهای برای مدافعان وجود دارد، زیرا اختلال در C2 میتواند از تبدیل شدن یک عفونت بدافزار به یک حادثه جدیتر مانند نقض داده جلوگیری کند. در واقع، بسیاری از حملات سایبری در مقیاس بزرگ در ابتدا زمانی کشف شدند که محققان متوجه فعالیت C2 شدند. در اینجا چند تکنیک کلی برای شناسایی و توقف فرمان و کنترل ترافیک در شبکه خود آورده شده است:
نظارت و فیلتر کردن ترافیک خروجی
بسیاری از سازمان ها توجه کمی به ترافیک خروجی از شبکه خود دارند و در عوض بر تهدیدات موجود در ترافیک ورودی تمرکز می کنند. این عدم آگاهی، فعالیت های فرماندهی و کنترل مهاجم را تسهیل می کند. قوانین دیوار آتش خروجی که به دقت طراحی شده اند می توانند مانع از توانایی دشمن در باز کردن کانال های مخفی ارتباط شوند. برای مثال، محدود کردن درخواستهای DNS خروجی فقط به سرورهایی که سازمان کنترل میکند، میتواند خطر تونلسازی DNS را کاهش دهد. از پروکسی ها می توان برای بررسی ترافیک وب خروجی استفاده کرد، اما کاربران باید مراقب پیکربندی بازرسی SSL/TLS باشند، زیرا هکرها رمزگذاری را همراه با بقیه وب پذیرفته اند. خدمات فیلتر DNS همچنین می تواند برای کمک به جلوگیری از تماس C2 به دامنه های مشکوک یا تازه ثبت شده استفاده شود.
برای Beacons تماشا کنید
بیکنها میتوانند نشانهای از فعالیت فرمان و کنترل در شبکه شما باشند، اما تشخیص آنها اغلب دشوار است. اکثر راهحلهای IDS/IPS از چراغهای مرتبط با چارچوبهای خارج از قفسه مانند Metasploit و Cobalt Strike استفاده میکنند، اما مهاجمان به راحتی میتوانند آنها را سفارشیسازی کنند تا تشخیص را بسیار دشوارتر کنند. برای تحلیل عمیق تر ترافیک شبکه (NTA)، از ابزاری مانند RITA می توان استفاده کرد. در برخی موارد، تیمهای شکار تهدید تا آنجا پیش میروند که با استفاده از ابزاری مانند Wireshark یا tcpdump، زبالههای بسته را به صورت دستی بازرسی میکنند.
لاگ (log) و بازرسی
جمعآوری فایلهای گزارش از هرچه بیشتر منابع ممکن هنگام جستجوی نشانههای فرمان و کنترل ترافیک ضروری است. اغلب، تجزیه و تحلیل دقیق برای تمایز بین ترافیک C2 و برنامه های کاربردی قانونی مورد نیاز است. تحلیلگران امنیتی ممکن است نیاز به جستجوی الگوهای غیرعادی داشته باشند، بارهای ارسال درخواستهای HTTPS یا DNS به ظاهر خوشخیم را بررسی کنند و انواع دیگر تحلیلهای آماری را انجام دهند. هرچه حجم اطلاعات بیشتری که تحلیلگر یا شکارچی تهدید باید با آن کار کند، بهتر است. راهحلهای ثبت از راه دور و SIEM میتوانند به این کار کمک کنند.
همبستگی داده ها از چندین منبع
هدف اصلی حفظ زیرساخت فرمان و کنترل انجام برخی اقدامات خاص مانند دسترسی به فایل های مهم یا آلوده کردن میزبان های بیشتر است. جستجوی فعالیت های C&C هم از منظر داده و هم از دیدگاه شبکه، احتمال کشف حملات سایبری استتار شده را افزایش می دهد.
نتیجه
زیرساخت فرماندهی و کنترل برای مهاجمان ضروری است – و نشان دهنده فرصتی برای مدافعان است. مسدود کردن ترافیک C&C یا از بین بردن زیرساخت C2 دشمن می تواند یک حمله سایبری را در مسیر خود متوقف کند. مقابله با C2 هرگز نباید تنها تمرکز یک سازمان باشد و باید بخشی از یک برنامه امنیت اطلاعات بزرگتر باشد که شامل شیوه های خوب “بهداشت سایبری”، آموزش آگاهی از امنیت برای کارکنان، و سیاست ها و رویه های سنجیده شده است. این گامها میتوانند تا حد زیادی به کاهش تهدید ناشی از زیرساختهای فرماندهی و کنترل کمک کنند.
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
10 افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
1 Comment
Join the discussion and tell us your opinion.
very interesting,Admin