Máy chủ “Command and Control” và “C2 Server” dành cho phần mềm độc hại là gì?

Nếu bạn thường xuyên đọc các bài viết trong mục “Tấn công mạng” trên Quản trị mạng, chắc hẳn bạn đã bắt gặp những cụm từ như “máy chủ điều khiển và lệnh”, “máy chủ Command and Control”, “máy chủ C2”, hay “máy chủ C&C” – đặc biệt là trong các bài báo liên quan đến mã độc.

Vậy những cụm từ này được dùng để chỉ những gì? Có ý nghĩa gì? Hãy cùng tìm hiểu ngay bây giờ.

Mã độc

Command and Control là gì?

Trong lĩnh vực an ninh mạng, một phương pháp cực kỳ phổ biến được tội phạm mạng sử dụng để phân phối và kiểm soát phần mềm độc hại trên các hệ thống được nhắm mục tiêu là sử dụng máy chủ “Command and Control”. Command and Control), còn được gọi là C2 hoặc C&C, là khi những kẻ xấu sử dụng máy chủ trung tâm để lén lút phân phối phần mềm độc hại đến máy tính mục tiêu, việc thực thi các lệnh là bắt buộc đối với chương trình độc hại và từ đó chiếm quyền kiểm soát thiết bị.

C&C là một phương thức tấn công đặc biệt xảo quyệt, bởi chỉ cần một máy tính bị nhiễm virus cũng có thể trở thành cầu nối cho phép tin tặc hạ gục toàn bộ hệ thống mạng nội bộ. Sau khi phần mềm độc hại xâm nhập thành công vào một máy tính bị nhiễm, máy chủ C&C có thể ra lệnh cho nó sao chép và tự lây lan sang các máy tính khác trong mạng – điều này có thể dễ dàng xảy ra vì mã độc về cơ bản đã vượt qua tường lửa của mạng.

Khi toàn bộ mạng bị nhiễm, kẻ tấn công có thể vô hiệu hóa hoặc mã hóa các thiết bị bị nhiễm để khóa người dùng. Các cuộc tấn công bằng mã độc tống tiền WannaCry năm 2017 đã thực hiện đúng theo kịch bản này bằng cách lây nhiễm vào máy tính tại các cơ sở quan trọng như bệnh viện, trường học … Sau đó mã hóa chúng và đòi tiền chuộc. bằng bitcoin.

C&C hoạt động như thế nào?

Các cuộc tấn công C&C bắt đầu với sự lây nhiễm ban đầu có thể xảy ra qua các kênh như:

  • Email lừa đảo chứa các liên kết đến các trang web độc hại hoặc chứa các tệp đính kèm với phần mềm độc hại trong đó.
  • Các lỗ hổng trong một số plugin của trình duyệt.
  • Người dùng vô tình tải xuống phần mềm bị nhiễm.

Phần mềm độc hại thường xâm nhập vào tường lửa bằng cách ngụy trang thành một thứ gì đó vô hại – chẳng hạn như bản cập nhật phần mềm hợp pháp, email có vẻ khẩn cấp hoặc tệp đính kèm vô hại. .

Sau khi lây nhiễm thành công trên thiết bị mục tiêu, mã độc sẽ gửi tín hiệu trở lại máy chủ do hacker vận hành. Sau đó, kẻ tấn công có thể kiểm soát thiết bị bị nhiễm giống như cách mà nhân viên hỗ trợ kỹ thuật có thể kiểm soát máy tính của bạn trong khi khắc phục sự cố từ xa. Lúc này, máy tính của bạn có thể trở thành “bot” hoặc “zombie” dưới sự kiểm soát của kẻ tấn công.

Sau đó, máy tính bị lây nhiễm sẽ tìm đến các máy tính khác (trong cùng mạng hoặc thông qua giao tiếp) bằng cách lây nhiễm mã độc cho chúng. Cuối cùng, các máy này tạo thành một “mạng botnet” do kẻ tấn công điều khiển.

Botnet

Kiểu tấn công này đặc biệt có hại cho các tổ chức và doanh nghiệp. Hệ thống cơ sở hạ tầng như cơ sở dữ liệu bệnh viện hoặc thông tin liên lạc ứng phó khẩn cấp có thể bị xâm phạm.

Nếu cơ sở dữ liệu bị xâm phạm, một lượng lớn dữ liệu nhạy cảm có thể bị đánh cắp. Trong một số cuộc tấn công này, phần mềm độc hại cũng được thiết kế để chạy trong nền vĩnh viễn, như trường hợp máy tính bị tấn công để khai thác tiền điện tử mà người dùng không hề hay biết.

Cấu trúc C&C

Ngày nay, máy chủ C&C chính thường được tin tặc lưu trữ trên đám mây, nhưng nó cũng có thể tồn tại như một máy chủ vật lý dưới sự kiểm soát trực tiếp của kẻ tấn công. Những kẻ tấn công có thể tự tùy chỉnh các máy chủ C&C của họ theo một số cấu trúc liên kết hoặc cấu trúc liên kết khác nhau:

  • Cấu trúc liên kết hình sao: Các bot được tổ chức xung quanh một máy chủ trung tâm.
  • Cấu trúc liên kết đa máy chủ: Nhiều máy chủ C&C được sử dụng để dự phòng.
  • Cấu trúc liên kết phân cấp: Nhiều máy chủ C&C được tổ chức thành một nhóm phân cấp.
  • Cấu trúc liên kết ngẫu nhiên: Các máy tính bị nhiễm giao tiếp giống như một mạng botnet ngang hàng (P2P botnet).

Những kẻ tấn công thường sử dụng giao thức chuyển tiếp trò chuyện qua internet (IRC) cho các cuộc tấn công mạng của chúng. C&C là một cách để những kẻ tấn công sử dụng các biện pháp bảo vệ chống lại các mối đe dọa mạng dựa trên IRC.

Từ năm 2017 trở đi, tin tặc có xu hướng sử dụng các ứng dụng như Telegram làm trung tâm chỉ huy và kiểm soát phần mềm độc hại.

Tin tặc có thể làm điều này khi có trong tay

Khi kẻ tấn công có quyền kiểm soát một mạng hoặc thậm chí chỉ một máy tính trên mạng đó, chúng có thể:

  • Đánh cắp dữ liệu bằng cách chuyển hoặc sao chép tài liệu và thông tin vào máy chủ của họ.
  • Buộc tắt một hoặc nhiều lần hoặc liên tục khởi động lại, làm gián đoạn hoạt động.
  • Tiến hành các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.

Cách phòng thủ trước các cuộc tấn công C&C

Cũng như hầu hết các loại tấn công mạng khác, việc bảo vệ chống lại các cuộc tấn công C&C sẽ yêu cầu sự kết hợp hiệu quả giữa phần mềm bảo vệ và hành động của con người. Bạn nên:

  • Tìm ra các dấu hiệu của một email lừa đảo.
  • Hãy cảnh giác khi nhấp vào bất kỳ liên kết và tệp đính kèm nào.
  • Cập nhật hệ thống của bạn thường xuyên và chạy phần mềm chống vi-rút chất lượng.
  • Cân nhắc sử dụng trình tạo mật khẩu hoặc dành thời gian để tạo các mật khẩu duy nhất. Sử dụng trình quản lý mật khẩu chuyên dụng.

Hầu hết các cuộc tấn công mạng đều yêu cầu nạn nhân làm điều gì đó để kích hoạt một chương trình độc hại, chẳng hạn như nhấp vào liên kết hoặc mở tệp đính kèm. Vì vậy, thận trọng sẽ là yếu tố quyết định ở đây.

  • Trình điều khiển của Dell chứa các lỗ hổng khiến hàng trăm triệu hệ thống gặp rủi ro
  • Hàng nghìn máy Mac bị nhiễm nhiều loại phần mềm độc hại, khiến các chuyên gia bối rối
  • Các trang web giả mạo Microsoft Store, Spotify phát tán phần mềm độc hại để lấy cắp thông tin
  • Phần mềm độc hại mới được ẩn trong gói NPM Browserify giả mạo trên hệ điều hành macOS và Linux