Các Command and Control Attack là một kiểu tấn công mạng, trong đó tin tặc kiểm soát PC của một cá nhân và sử dụng nó để đưa phần mềm độc hại vào các máy tính khác được kết nối với cùng một mạng nhằm tạo ra một đội quân bot. Command and Control Cyberattack được viết tắt ngắn gọn là C2 hoặc C&C. Để thực hiện một cuộc tấn công C&C ở cấp độ nâng cao, tin tặc thường cố gắng kiểm soát toàn bộ mạng mà thông qua đó các máy tính trong một tổ chức được kết nối với nhau để tất cả các máy tính trong mạng có thể bị lây nhiễm để tạo ra một đội quân bot. Trong bài viết này, chúng tôi sẽ nói về Command and Control Cyberattacks và làm thế nào bạn có thể identify and prevent them.
Lệnh và Kiểm soát Tấn công mạng
Một cuộc tấn công C2 hoặc C&C bao gồm tập hợp các công cụ và kỹ thuật mà tin tặc sử dụng để giao tiếp với các thiết bị bị xâm nhập nhằm đưa ra các hướng dẫn để lây lan sự lây nhiễm. Trong Cuộc tấn công mạng bằng Lệnh và Kiểm soát, một hoặc nhiều kênh liên lạc có thể tồn tại giữa PC của nạn nhân hoặc một tổ chức và nền tảng mà tin tặc kiểm soát. Kẻ tấn công sử dụng các kênh liên lạc này để chuyển hướng dẫn đến các thiết bị bị xâm nhập. DNS là một kênh giao tiếp được sử dụng rộng rãi cho một cuộc tấn công C2.
Trước khi chúng ta thảo luận thêm về Cuộc tấn công mạng chỉ huy và điều khiển, có một số thuật ngữ liên quan đến cuộc tấn công C&C mà bạn nên biết.
Thây ma
Zombie là một máy tính hoặc thiết bị đã bị kẻ tấn công lây nhiễm một số dạng vi-rút hoặc phần mềm độc hại. Sau khi biến một chiếc máy tính khỏe mạnh thành một thây ma, kẻ tấn công có thể điều khiển nó từ xa mà chủ nhân của nó không hề hay biết hoặc đồng ý. Trong cơ sở hạ tầng C2, phần mềm độc hại hoặc vi rút mà tin tặc sử dụng để lây nhiễm vào một máy tính cụ thể sẽ mở ra một con đường để tin tặc gửi hướng dẫn đến máy tính bị nhiễm. Đây là một con đường hai chiều, có nghĩa là kẻ tấn công có thể gửi hướng dẫn đến máy tính bị nhiễm và cũng tải xuống nội dung từ máy tính bị nhiễm.
Các thiết bị bị nhiễm trong cơ sở hạ tầng C2 hoặc C&C được gọi là thây ma vì những thiết bị này được kẻ tấn công sử dụng để lây nhiễm các máy tính khỏe mạnh khác trên một mạng cụ thể. Sau khi bị lây nhiễm, những chiếc máy tính này hoạt động giống như những thây ma xuất hiện trong các bộ phim viễn tưởng hoặc kinh dị của Hollywood.
Botnet
Mạng botnet là một đội quân gồm các máy tính bị lây nhiễm. Trong cơ sở hạ tầng C2, khi một máy tính bị nhiễm, sự lây nhiễm sẽ được chuyển sang một máy tính khác được kết nối với mạng. Quá trình tương tự được lặp lại để lây nhiễm các máy tính khác trong cùng một mạng nhằm tạo ra một đội quân bot. Đội quân bot (máy tính bị nhiễm virus) này được gọi là mạng botnet. Một tin tặc có thể sử dụng một mạng botnet cho các cuộc tấn công mạng khác nhau, chẳng hạn như một cuộc tấn công DDoS. Ngoài ra, một hacker cũng có thể bán botnet cho các tội phạm mạng khác.
Beaconing
Báo hiệu là quá trình mà phần mềm độc hại trong máy tính bị nhiễm sẽ giao tiếp với máy chủ C&C để nhận hướng dẫn từ tin tặc và gửi dữ liệu từ thiết bị bị nhiễm đến tin tặc.
Một cuộc tấn công Mạng bằng Lệnh và Kiểm soát hoạt động như thế nào?
Mục tiêu của kẻ tấn công là vào bên trong hệ thống mục tiêu. Anh ta có thể thực hiện việc này bằng cách cài đặt vi-rút hoặc phần mềm độc hại trên hệ thống máy chủ. Sau khi lây nhiễm vi rút hoặc phần mềm độc hại vào hệ thống của máy chủ, anh ta có thể có toàn quyền kiểm soát nó. Có nhiều cách mà hacker có thể đưa phần mềm độc hại vào máy tính của người dùng. Một trong những phương pháp phổ biến là gửi email lừa đảo. Email lừa đảo chứa liên kết độc hại. Liên kết độc hại này có thể đưa người dùng đến trang web độc hại hoặc yêu cầu anh ta cài đặt một phần mềm cụ thể.
Phần mềm chứa mã độc do hacker viết ra. Khi cài đặt phần mềm này, phần mềm độc hại sẽ xâm nhập vào máy tính của anh ta. Phần mềm độc hại này sau đó bắt đầu gửi dữ liệu từ máy tính bị nhiễm đến kẻ tấn công mà không có sự đồng ý của người dùng. Dữ liệu này có thể chứa thông tin nhạy cảm như thông tin thẻ tín dụng, mật khẩu, v.v.
Trong cơ sở hạ tầng Lệnh và Điều khiển, phần mềm độc hại trong hệ thống của máy chủ sẽ gửi lệnh đến máy chủ lưu trữ. Các đường truyền được chọn cho mục đích này thường được tin cậy và không được giám sát chặt chẽ. Một ví dụ về lộ trình này là DNS. Khi phần mềm độc hại thành công trong việc gửi lệnh đến máy chủ lưu trữ, máy tính của máy chủ lưu trữ sẽ biến thành một thây ma và chịu sự kiểm soát của kẻ tấn công. Sau đó, kẻ tấn công sử dụng máy tính bị nhiễm virus để truyền sự lây nhiễm sang các máy tính khác để tạo ra một đội quân bot hoặc mạng botnet.
Ngoài việc đánh cắp dữ liệu của người dùng, tin tặc có thể sử dụng mạng botnet cho nhiều mục đích khác nhau, chẳng hạn như:
- Đánh vào các trang web phổ biến với các cuộc tấn công DDoS.
- Phá hủy dữ liệu của người dùng hoặc tổ chức.
- Làm gián đoạn nhiệm vụ của tổ chức bằng cách chiếm quyền điều khiển máy của họ.
- Phân phối phần mềm độc hại hoặc vi rút cho các máy khỏe khác qua mạng.
Máy chủ Lệnh và Điều khiển
Máy chủ Lệnh và Điều khiển là các máy tập trung có khả năng gửi các lệnh hoặc lệnh tới các máy là một phần của mạng botnet và nhận kết quả từ cùng một mạng. Có nhiều cấu trúc liên kết khác nhau được sử dụng trong Máy chủ Điều khiển và Lệnh Botnet. Một số cấu trúc liên kết này được giải thích bên dưới:
- Star topology: Trong cấu trúc liên kết hình sao, có một Máy chủ C&C trung tâm. Máy chủ này gửi hướng dẫn hoặc lệnh tới các bot trong mạng botnet. Trong cấu trúc liên kết này, việc vô hiệu hóa botnet tương đối dễ dàng hơn vì chỉ có một máy chủ C&C gửi tất cả các lệnh đến bot và nhận kết quả từ cùng một.
- Multi-server topology: Cấu trúc liên kết này tương tự như cấu trúc liên kết hình sao mà chúng tôi đã mô tả ở trên. Nhưng máy chủ trung tâm trong cấu trúc liên kết này bao gồm một loạt các máy chủ được kết nối với nhau. Cấu trúc liên kết nhiều máy chủ được coi là ổn định hơn cấu trúc liên kết Hình sao vì sự cố của một máy chủ duy nhất không gây ra việc tắt toàn bộ máy chủ C&C. Xây dựng cấu trúc liên kết Máy chủ C&C nhiều máy chủ phức tạp hơn cấu trúc liên kết Hình sao vì nó yêu cầu thiết lập các máy chủ khác nhau, cần có kế hoạch phù hợp.
- Random topology: Trong cấu trúc liên kết ngẫu nhiên, một số bot chuyên biệt được sử dụng để gửi hướng dẫn hoặc lệnh tới các bot khác qua mạng botnet. Các bot chuyên biệt này được vận hành bởi chủ sở hữu hoặc người dùng được ủy quyền. Những loại mạng botnet như vậy có độ trễ rất cao và rất khó để tháo dỡ. Trong cấu trúc liên kết ngẫu nhiên, giao tiếp giữa bot với bot có thể được mã hóa khiến nó trở thành cấu trúc liên kết Máy chủ C&C phức tạp hơn.
Read: Tránh ngân hàng trực tuyến và các gian lận mạng khác
Cách xác định Lệnh và Kiểm soát Tấn công Mạng
Bạn có thể xác định Lệnh và Kiểm soát Cuộc tấn công mạng với sự trợ giúp của các tệp nhật ký.
- DNS log files: Như đã mô tả ở trên, DNS là kênh giao tiếp được sử dụng phổ biến nhất trong Command and Control Cyberattacks. Do đó, các tệp nhật ký DNS có thể cung cấp cho bạn thông tin quan trọng về các cuộc tấn công C&C. Như chúng tôi đã nói, hầu hết các cuộc tấn công C&C được thực hiện thông qua các máy chủ DNS. Nhưng nếu cuộc tấn công C&C không được thực hiện thông qua máy chủ DNS, các tệp nhật ký DNS sẽ không cung cấp cho bạn bất kỳ thông tin nào về cuộc tấn công.
- Proxy log files: Hầu hết các tổ chức sử dụng proxy lọc. Lưu lượng truy cập của người dùng phải đi qua proxy này vì lý do bảo mật. Các tệp nhật ký của proxy web có thể là nguồn thông tin quan trọng liên quan đến Cuộc tấn công mạng Chỉ huy và Kiểm soát.
- Firewall logs: Nhật ký tường lửa cũng có thể là một nguồn tốt cho cuộc điều tra tấn công C&C.
Sau khi thu thập thông tin từ các tệp nhật ký khác nhau, bạn có thể tìm kiếm thông tin sau trong tệp nhật ký để xác nhận xem một cuộc tấn công C&C đã diễn ra hay chưa.
- Mẫu lặp lại của các yêu cầu HTTP,
- Kết nối với máy chủ HTTP đặc biệt là ngoài giờ làm việc thông thường,
- Yêu cầu các trang mạng xã hội, đặc biệt là ngoài giờ hành chính,
- Phản hồi DNS với TTL thấp,
- Yêu cầu lặp đi lặp lại cho các miền trình rút ngắn URL,
- Lưu lượng IRC hoặc P2P gửi đi, v.v.
Read: Bài viết và thủ thuật về Bảo mật Internet dành cho người dùng Windows.
Cách ngăn chặn Lệnh và Kiểm soát Tấn công Mạng
Bây giờ, chúng ta hãy nói về một số cách mà bạn có thể ngăn chặn các cuộc Tấn công Mạng Chỉ huy và Kiểm soát.
Mẹo bảo mật cho tổ chức hoặc quản trị viên
Trước tiên, hãy xem các cách mà các tổ chức hoặc quản trị viên hệ thống có thể ngăn chặn các cuộc Tấn công Mạng Chỉ huy và Kiểm soát.
Nhận thức của các nhân viên
Điều đầu tiên mà các tổ chức nên làm là đào tạo nâng cao nhận thức cho tất cả nhân viên để họ có thể biết cuộc tấn công Command and Control là gì và cách thức thực hiện nó. Điều này sẽ giảm thiểu khả năng hệ thống bị tấn công bởi kẻ tấn công. Bằng cách cung cấp chương trình đào tạo thích hợp cho nhân viên của mình, bạn có thể giảm nguy cơ bị tấn công C&C.
Theo dõi mạng của bạn
Trong hầu hết các trường hợp, Các cuộc tấn công mạng Chỉ huy và Kiểm soát được thực hiện qua mạng. Do đó, cần theo dõi luồng lưu lượng qua mạng của bạn. Trong khi giám sát mạng của mình, bạn phải để ý các hoạt động đáng ngờ đang được thực hiện trên mạng của mình, chẳng hạn như:
- Truy cập các vị trí mạng bất thường,
- Người dùng đăng nhập ngoài giờ hành chính,
- Các tệp đang được lưu trữ ở các vị trí kỳ lạ, v.v.
Thiết lập xác thực hai yếu tố trên tất cả các tài khoản của nhân viên của bạn
Xác thực hai yếu tố bổ sung thêm một lớp bảo mật. Do đó, đây là một cách tuyệt vời để bảo mật tài khoản người dùng của bạn. Tuy nhiên, những kẻ tấn công cũng có thể bỏ qua xác thực hai yếu tố, nhưng nó không dễ dàng như bạn tưởng.
Giới hạn quyền của người dùng
Giới hạn quyền của người dùng có thể là một bước tốt để bảo mật hệ thống của bạn khỏi các cuộc tấn công mạng Chỉ huy và Kiểm soát. Chỉ giao cho nhân viên của bạn những quyền mà họ yêu cầu để thực hiện công việc của họ và không nhiều hơn thế.
Mẹo bảo mật cho người dùng
Chúng ta hãy xem một số mẹo bảo mật cho người dùng để ngăn chặn các cuộc tấn công Mạng Lệnh và Kiểm soát.
Đừng nhấp vào các liên kết không đáng tin cậy
Chúng tôi đã mô tả trước đó trong bài viết này rằng những kẻ tấn công có thể xâm nhập vào máy tính của máy chủ theo nhiều cách. Một trong những cách này là các email lừa đảo có chứa các liên kết độc hại. Khi bạn nhấp vào các liên kết này, bạn sẽ được chuyển hướng đến một trang web độc hại hoặc phần mềm độc hại được tải xuống và cài đặt tự động trên hệ thống của bạn. Do đó, để an toàn hơn, đừng bao giờ nhấp vào các liên kết từ các email không đáng tin cậy.
Không mở tệp đính kèm từ các email không đáng tin cậy
Không mở các tệp đính kèm trong email trừ khi bạn biết người gửi là ai. Một số ứng dụng email, như Gmail, có tính năng quét tệp đính kèm email. Nhưng đôi khi tính năng này không hoạt động trên một số tệp đính kèm email cụ thể. Trong trường hợp như vậy, nếu bạn không biết người gửi email, tốt hơn hết là bạn không nên mở những email như vậy.
Đăng xuất mỗi khi bạn hoàn thành công việc của mình
Đăng xuất khỏi tất cả các tài khoản sau khi hoàn thành công việc trên máy tính là một phương pháp hay để ngăn chặn tất cả các loại tấn công mạng. Ngoài ra, bạn có thể đặt trình duyệt của mình, như Firefox, Chrome, Edge, v.v., để tự động xóa cookie khi thoát.
Cài đặt tường lửa hoặc phần mềm chống vi-rút tốt
Luôn cài đặt một chương trình chống vi-rút tốt trên hệ thống của bạn. Một số antivirus cũng cung cấp tính năng quét email. Sẽ là tốt nhất nếu bạn có ngân sách để mua một bộ bảo mật hoàn chỉnh cung cấp các tính năng khác nhau như quét email, cảnh báo vi phạm dữ liệu, bảo vệ ransomware, bảo vệ webcam, v.v. Bạn cũng có thể cài đặt tường lửa tốt.
Tạo mật khẩu mạnh
Nó luôn được khuyến khích để tạo mật khẩu mạnh. Mật khẩu phân biệt chữ hoa chữ thường. Do đó, hãy tạo một mật khẩu với sự kết hợp của các ký tự đặc biệt, chữ nhỏ, chữ in hoa và chữ số. Bạn cũng có thể sử dụng trình tạo mật khẩu miễn phí để tạo mật khẩu mạnh và duy nhất.
Luôn cập nhật hệ thống của bạn
Bạn nên cập nhật hệ thống vì với mỗi bản cập nhật, nhà phát triển sẽ phát hành các bản vá bảo mật mới nhất. Các bản vá bảo mật này giúp bảo vệ hệ thống của bạn khỏi các mối đe dọa mạng.
Read: Trộm cắp danh tính trực tuyến: Phòng ngừa và bảo vệ.
Một số chỉ số của một cuộc tấn công mạng là gì?
Sau đây là một số triệu chứng mà hệ thống của bạn sẽ hiển thị nếu nó bị xâm phạm.
- Bạn sẽ không thể truy cập các tệp hoặc ứng dụng thông thường.
- Một số cài đặt hệ thống của bạn bị chặn.
- Tài khoản của bạn đã bị khóa hoặc mật khẩu của nó đã bị thay đổi mà bạn không biết.
- Bạn sẽ thấy các cửa sổ bật lên không mong muốn trong trình duyệt web của mình thường xuyên nhất.
- Bạn sẽ trải nghiệm tốc độ internet chậm hơn mà không bị nghẽn mạng internet.
- Các chương trình được cài đặt trên hệ thống của bạn sẽ được khởi chạy và đóng tự động.
Read: Cách giữ an toàn trên máy tính công cộng.
Làm thế nào bạn có thể ngăn chặn các mối đe dọa mạng?
Để ngăn chặn các mối đe dọa từ mạng, bạn có thể thực hiện một số việc cần thiết, chẳng hạn như đăng xuất khỏi tất cả các tài khoản của mình mỗi khi hoàn thành công việc, xóa cookie của trình duyệt web khi thoát, cài đặt tường lửa và chống vi-rút tốt, tạo mật khẩu mạnh, v.v.
Đó là nó.
Read next: Đánh cắp phiên là gì và Cách ngăn chặn.
BLog Thủ Thuật chúc anh em thành công!!!