Was ist ein „Befehls- und Kontrollserver“ für Malware?

Ein Netzwerk kleiner blauer Roboter, die ein Botnet darstellen.

Ob Datenschutzverletzungen bei Facebook oder globale Ransomware-Angriffe, Cyberkriminalität ist ein großes Problem. Malware und Ransomware werden zunehmend von böswilligen Akteuren verwendet, um aus verschiedenen Gründen die Maschinen von Menschen ohne deren Wissen auszunutzen.

Was ist Befehl und Kontrolle?

Eine beliebte Methode, die Angreifer zur Verbreitung und Kontrolle von Malware verwenden, ist „Command and Control“, auch C2 oder C&C genannt. Dies ist der Fall, wenn böswillige Akteure einen zentralen Server verwenden, um heimlich Malware auf die Computer von Menschen zu verteilen, Befehle an das bösartige Programm auszuführen und die Kontrolle über ein Gerät zu übernehmen.

C&C ist eine besonders heimtückische Angriffsmethode, da nur ein infizierter Computer ein ganzes Netzwerk lahmlegen kann. Sobald die Malware auf einem Computer ausgeführt wird, kann der C&C-Server ihr befehlen, sie zu duplizieren und zu verbreiten – was leicht passieren kann, da sie bereits die Netzwerk-Firewall passiert hat.

Sobald das Netzwerk infiziert ist, kann ein Angreifer es herunterfahren oder die infizierten Geräte verschlüsseln, um Benutzer auszusperren. Die WannaCry-Ransomware-Angriffe im Jahr 2017 haben genau das getan, indem sie Computer in kritischen Einrichtungen wie Krankenhäusern infizierten, sperrten und ein Lösegeld in Bitcoin forderten.

Wie funktioniert C&C?

C&C-Angriffe beginnen mit der Erstinfektion, die über Kanäle wie:

  • Phishing-E-Mails mit Links zu bösartigen Websites oder mit Anhängen, die mit Malware geladen sind.
  • Sicherheitslücken in bestimmten Browser-Plugins.
  • Herunterladen infizierter Software, die legitim aussieht.

Malware wird als etwas harmlos aussehendes an der Firewall vorbeigeschleust – beispielsweise ein scheinbar legitimes Software-Update, eine dringend klingende E-Mail, die Sie über eine Sicherheitsverletzung informiert, oder ein harmloser Dateianhang.

Sobald ein Gerät infiziert wurde, sendet es ein Signal zurück an den Hostserver. Der Angreifer kann dann die Kontrolle über das infizierte Gerät übernehmen, ähnlich wie Mitarbeiter des technischen Supports die Kontrolle über Ihren Computer übernehmen könnten, während sie ein Problem beheben. Der Computer wird unter der Kontrolle des Angreifers zu einem „Bot“ oder einem „Zombie“.

Der infizierte Computer rekrutiert dann andere Computer (entweder im selben Netzwerk oder mit denen er kommunizieren kann), indem er sie infiziert. Schließlich bilden diese Maschinen ein vom Angreifer kontrolliertes Netzwerk oder „Botnet“.

Diese Art von Angriff kann im Unternehmensumfeld besonders schädlich sein. Infrastruktursysteme wie Krankenhausdatenbanken oder Notfallkommunikation können kompromittiert werden. Bei einem Angriff auf eine Datenbank können große Mengen sensibler Daten gestohlen werden. Einige dieser Angriffe sind so konzipiert, dass sie dauerhaft im Hintergrund laufen, wie im Fall von Computern, die ohne Wissen des Benutzers zum Minen von Kryptowährungen entführt werden.

verbunden :  So lassen Sie den Windows Task-Manager immer eine bestimmte Registerkarte öffnen

C&C-Strukturen

Heute wird der Hauptserver oft in der Cloud gehostet, aber früher war er ein physischer Server unter der direkten Kontrolle des Angreifers. Angreifer können ihre C&C-Server nach einigen verschiedenen Strukturen oder Topologien strukturieren:

  • Sterntopologie: Bots sind um einen zentralen Server herum organisiert.
  • Multi-Server-Topologie: Zur Redundanz werden mehrere C&C-Server verwendet.
  • Hierarchische Topologie: Mehrere C&C-Server sind in einer abgestuften Gruppenhierarchie organisiert.
  • Zufällige Topologie: Infizierte Computer kommunizieren als Peer-to-Peer-Botnet (P2P-Botnet).

Angreifer verwendeten das Internet Relay Chat (IRC)-Protokoll für frühere Cyberangriffe, sodass es heute weitgehend erkannt und geschützt wird. C&C ist eine Möglichkeit für Angreifer, Schutzmaßnahmen gegen IRC-basierte Cyber-Bedrohungen zu umgehen.

Seit 2017 nutzen Hacker Apps wie Telegram als Kommando- und Kontrollzentrum für Malware. Ein Programm namens ToxicEye, das in der Lage ist, Daten zu stehlen und Personen ohne ihr Wissen über ihre Computer aufzuzeichnen, wurde in . gefunden 130 Instanzen gerade dieses Jahr.

Was Angreifer tun können, wenn sie die Kontrolle haben

Sobald ein Angreifer die Kontrolle über ein Netzwerk oder sogar eine einzelne Maschine innerhalb dieses Netzwerks hat, kann er:

  • Daten stehlen, indem sie Dokumente und Informationen auf ihren Server übertragen oder kopieren.
  • erzwingen, dass eine oder mehrere Maschinen heruntergefahren oder ständig neu gestartet werden, wodurch der Betrieb unterbrochen wird.
  • DDoS-Angriffe (Distributed Denial of Service) durchführen.

So schützen Sie sich

Wie bei den meisten Cyberangriffen läuft der Schutz vor C&C-Angriffen auf eine Kombination aus guter digitaler Hygiene und Schutzsoftware hinaus. Du solltest:

  • Lernen Sie die Anzeichen einer Phishing-E-Mail kennen.
  • Seien Sie vorsichtig, wenn Sie auf Links und Anhänge klicken.
  • Aktualisieren Sie Ihr System regelmäßig und führen Sie hochwertige Antivirensoftware aus.
  • Erwägen Sie die Verwendung eines Passwortgenerators oder nehmen Sie sich die Zeit, um einzigartige Passwörter zu erstellen. Ein Passwort-Manager kann sie für Sie erstellen und speichern.

Bei den meisten Cyberangriffen muss der Benutzer etwas tun, um ein bösartiges Programm zu aktivieren, z. B. auf einen Link klicken oder einen Anhang öffnen. Wenn Sie jede digitale Korrespondenz mit dieser Möglichkeit im Hinterkopf behalten, sind Sie online sicherer.

VERBUNDEN: Was ist das beste Antivirenprogramm für Windows 10? (Ist Windows Defender gut genug?)

Moyens Staff
Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.