Łączenie się z siecią to codzienność. Robimy to w naszym miejscu pracy, na uniwersytecie, na studiach, w domu i prawie wszędzie. Jesteśmy jednak narażeni na wiele ataków, takich jak: Dowodzenie i kontrola ten Są szczególnie niebezpieczne, ponieważ mają zdolność rozprzestrzeniania się bardzo szybko i na dużą skalę, przeprowadzania destrukcyjnych ataków, takich jak DDoS. W tym artykule wyjaśniamy, co to jest i jakie kroki możesz podjąć, aby zapobiec tym atakom i odzyskać je.
Serwer Command-and-Control to zhakowane urządzenie, które z kolei znajduje się pod kontrolą cyberprzestępcy. Ten komputer, wraz z innymi „kontrolowanymi” urządzeniami, które są częścią sieci, może należeć zarówno do centrum dowodzenia, jak i do botnetu. A ta ostatnia jest jak grupa tych sterowanych urządzeń, które mają pełną kontrolę nad siecią.
Jak wykonywany jest atak typu Command and Control?
Powyższy obrazek pokazuje, jak rozległe są ataki typu Command and Control. Mogą być wystarczająco duże, aby można je było ułożyć w następujący sposób:
- Główny bot: włączony byłoby centralnym urządzeniem, którym może być komputer lub serwer zarządzany przez atakującego.
- serwery Dowodzenie i kontrola: Pamiętaj, że te serwery C&C są również urządzeniami, które zostały zainfekowane – zwykle – przez konia trojańskiego. Są jak dzieci Bot Mastera i z kolei mają zdolność infekowania innych urządzeń.
- Boty: to urządzenia, które zostały zainfekowane lub „zrekrutowane” przez późniejsze serwery C&C boty (robot) ten Mogą należeć do tej samej sieci lub serwery C&C mogą składać się z urządzeń należących do różnych sieci.
Zasadniczo ataki typu Command-and-Control mają możliwość uzbrajania ogromnych botnetów w celu łatwego przeprowadzania ataków na dużą skalę. Gigantyczne botnety to idealna broń do ataków DDoS lub do wysyłania masowych wiadomości-śmieci lub złośliwych wiadomości e-mail w celu zainfekowania jeszcze większej liczby urządzeń. Aby botnet się rozwijał. Serwery dowodzenia i kontroli wynajmują komputery i inne urządzenia na dwa główne sposoby:
- E-MAIL. Bez obawy popełnienia błędu jest to najskuteczniejszy sposób na zdobycie botów. Przede wszystkim, ponieważ użytkownik jest bardzo ciekawy i aby zaspokoić swoje pragnienie poznania zawartości załączonego pliku, pobierze plik i otworzy go, nawet jeśli ten użytkownik nie spodziewał się takiego pliku. To samo dotyczy linków, kimkolwiek są, tych linków, które są wyraźnie podejrzane, ofiary wchodzą i wychodzą. Wiemy, że ciekawość jest głównym zagrożeniem bezpieczeństwa.
- Wykorzystaj luki w zabezpieczeniach. Istnieją luki, które, jeśli zostaną wykorzystane, mogą stworzyć coś w rodzaju gatunku tylne drzwi ( tylne drzwi ), który umożliwia pełny dostęp i kontrolę urządzenia ofiary. Należy pamiętać, że luki w zabezpieczeniach występują nawet wtedy, gdy nie posiadamy aktualnego systemu operacyjnego, niebezpiecznych dodatków i rozszerzeń przeglądarki internetowej oraz innych niebezpiecznych programów. będziemy bezbronni.
Rodzaje architektur botnetów
Opisaliśmy wcześniej tradycyjny schemat blokowy dla centralny botnet ten Podstawą tego typu złośliwej sieci jest model klient-serwer. Zwykle komunikacja między członkami botnetu odbywa się za pośrednictwem weterana IRC (Internet Relay Chat)ten Ta usługa wiadomości błyskawicznych działa w następujący sposób: Użytkownik instaluje program, który służy jako interfejs IRC używany do komunikacji z serwerami IM. Serwery te umożliwiają komunikację między użytkownikami. Sieci IRC są bardzo proste i nie wymagają dużej przepustowości, co oznacza, że są bardzo przydatne do tworzenia i rozszerzania botnetów. Większość botnetów zaprojektowanych do przeprowadzania najbardziej destrukcyjnych ataków DDoS była możliwa głównie dzięki IRC.
Z drugiej strony jest zdecentralizowana architektura botnetu ten Jego główną cechą jest to, że za botnet nie odpowiada żaden serwer ani urządzenie. Wszystkie jego kończyny umożliwiają działanie, utrudniając zniszczenie. Zagregowane botnety są kruche pod tym względem: Mistrzowie botów jeśli przestaną działać, cała złośliwa sieć przestanie działać samodzielnie. Każda organizacja specjalizująca się w bezpieczeństwie informacji i/lub cyberprzestrzeni może wykryć i zatrzymać działanie serwerów i kanałów, dlatego centralny botnet zazwyczaj nie jest zbyt praktyczny.
Co mogę zrobić, jeśli mój komputer stał się botem?
Te metryki mogą pomóc w podejmowaniu skutecznych działań, jeśli Twoje urządzenie było częścią botnetu. Pamiętaj, że zagrożony jest nie tylko komputer, ale każde inne urządzenie, które może połączyć się z siecią, takie jak urządzenia IoT. Te z kolei mogą pomóc w zapobieganiu przyszłym wydarzeniom:
- Le menadżer zadań Bardzo pomaga, jeśli chodzi o identyfikację procesów, które wykorzystują najwięcej zasobów na twoim komputerze. Dodatkowo będziesz mógł wykryć nieznane procesy. Dlatego sprawdzaj to często, jeśli zauważysz jakieś dziwne zachowanie na swoim komputerze. Po wykryciu tych procesów możesz je natychmiast zabić i uruchomić złośliwe oprogramowanie.
- Wybierz dobre rozwiązania antywirus/antymalware które pozwalają na bardzo szczegółowe skanowanie w poszukiwaniu złośliwego oprogramowania i dowolnego innego rodzaju złośliwego oprogramowania. Chociaż nie są to najbardziej kompletne rozwiązania, mogą pomóc nam wykryć większość złośliwego oprogramowania, które byłoby na naszym komputerze.
- Jeśli padłeś ofiarą rootkit , dwa skuteczne środki zaradcze to przywracanie wcześniej utworzonych kopii zapasowych lub ponowna instalacja systemu operacyjnego z punktu sprzed ataku. Oto znaczenie tworzenia kopii zapasowej naszego pliku w ogóle i poprzednich punktów systemu operacyjnego.
- Zastosuj aktualizacje oprogramowania, gdy tylko staną się dostępne. To samo dotyczy aktualizacji zabezpieczeń, ponieważ oferują one kilka rozwiązań zapobiegających przyszłym atakom. Ponadto pomagają zoptymalizować wydajność systemu operacyjnego i ogólnie komputera.
Ataki typu Command and Control dla sieci korporacyjnych
Firmy są bardziej podatne na ataki serwerów C&C. Dzieje się tak, ponieważ mogą istnieć setki i tysiące urządzeń, które są częścią tej samej sieci lub wielu sieci. Jeśli sieć firmowa została zaatakowana przez C&C, wydajność, szybkość, a nawet przestoje samej sieci są powszechne. Można jednak podjąć szereg środków, aby zapewnić dobry poziom ochrony:
- Analizę sieci należy przeprowadzić za pomocą narzędzi takich jak: Licznik sieci a jeśli istnieją bezprzewodowe punkty dostępowe, mamy e tutaj kilka praktycznych sugestii ten Przeważnie narzędzia te koncentrują się na kontrolowaniu, kto łączy się i ile wykorzystuje przepustowości. Dzięki temu możesz znać adresy MAC interfejsów sieciowych i inne dane.
- Aby kontrolować i wykrywać podejrzane pakiety krążące w sieci, możesz wybrać takie narzędzia jak m.in. Wireshark itp. Scapy jeśli systemy są oparte na Linuksie.
- Skonfiguruj automatyczne skanowanie i skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania na wszystkich komputerach, aby zapewnić stałą ochronę użytkownikom.
- Należy zastosować pewne podstawowe procedury utwardzania. Niektóre podstawowe zasady to usuwanie podejrzanych programów i tworzenie zapory sieciowej lub hosta. Chociaż możliwe jest użycie obu.
- Komputery są na bieżąco aktualizowane, zarówno system operacyjny, jak i aplikacje używane na co dzień.
Mamy nadzieję, że te zalecenia pomogą Ci śledzić, czy Twoje komputery i urządzenia IoT są częścią botnetu, a jeśli tak, pozwolą Ci jak najszybciej wyjść z niego.