Inhaltsverzeichnis

Was ist ein Command and Control-Angriff?

Inhaltsverzeichnis

Bösartige Angriffe auf Netzwerke haben im letzten Jahrzehnt zugenommen. Einer der schädlichsten Angriffe, der oft über DNS ausgeführt wird, erfolgt über Command and Control, auch C2 oder C&C genannt. Command and Control ist definiert als eine Technik, die von Bedrohungsakteuren verwendet wird, um über ein Netzwerk mit kompromittierten Geräten zu kommunizieren.

C2 umfasst in der Regel einen oder mehrere verdeckte Kanäle, aber je nach Angriff können die spezifischen Mechanismen stark variieren. Angreifer nutzen diese Kommunikationskanäle, um Anweisungen an das kompromittierte Gerät zu übermitteln, um zusätzliche Malware herunterzuladen, Botnets zu erstellen oder Daten zu exfiltrieren.

Laut dem MITRE ATT&CK Frameworkgibt es über 16 verschiedene Command-and-Control-Taktiken, die von Gegnern eingesetzt werden, darunter zahlreiche Subtechniken:

  1. Protokoll der Anwendungsschicht
  2. Kommunikation über Wechseldatenträger
  3. Datenkodierung
  4. Datenverschleierung
  5. Dynamische Auflösung
  6. Verschlüsselter Kanal
  7. Fallback-Kanäle
  8. Ingress Tool Transfer
  9. Multi-Stage-Kanäle
  10. Nicht-Anwendungsschicht-Protokoll
  11. Nicht-Standard-Port
  12. Protokoll-Tunneling
  13. Proxy
  14. Software für Fernzugriff
  15. Verkehrssignalisierung
  16. Webdienst

 

Wie ein Command-and-Control-Angriff funktioniert

Der Angreifer fängt damit an, den Zielcomputer zu infizieren, der sich möglicherweise hinter einer Next-Generation Firewallbefindet. Dies kann auf verschiedene Weise geschehen:

  • Über eine Phishing-E-Mail, die:
    • den Benutzer dazu verleitet, einem Link zu einer bösartigen Website zu folgen
      oder
    • das Öffnen eines Anhangs, der bösartigen Code ausführt.
  • Durch Sicherheitslücken in Browser-Plugins.
  • Über andere infizierte Software.
Diagramm zur Darstellung von Befehl und Kontrolle im Lebenszyklus eines Cyberangriffs

 

Sobald die Kommunikation hergestellt ist, sendet der infizierte Rechner ein Signal an den Server des Angreifers und wartet auf dessen nächste Anweisung. Der kompromittierte Host führt die Befehle vom C2-Server des Angreifers aus und installiert möglicherweise zusätzliche Software. Viele Angreifer versuchen, C2-Datenverkehr mit anderen Arten von legitimem Datenverkehr wie HTTP/HTTPS oder DNS zu vermischen. Das Ziel ist es, nicht entdeckt zu werden.

Der Angreifer hat nun die vollständige Kontrolle über den Computer des Opfers und kann beliebigen Code ausführen. Der bösartige Code verbreitet sich in der Regel auf weitere Computer und bildet ein Botnet - ein Netzwerk aus infizierten Geräten. Auf diese Weise kann ein Angreifer die vollständige Kontrolle über das Netzwerk eines Unternehmens erlangen.

Command and Control ist eine der letzten Stufen der Kill Chain (geprägt von Lockheed Martin). Er tritt auf, kurz bevor die Bedrohungsakteure ihre Ziele erreichen. Das bedeutet, dass der Angreifer bereits andere Sicherheitsmaßnahmen umgangen hat, die möglicherweise vorhanden waren. Daher ist es für Sicherheitsexperten wichtig, C2 schnell zu entdecken und zu verhindern.

 

Arten von Befehls- und Kontrolltechniken

Es gibt drei verschiedene Modelle für C2C-Angriffe. Diese Modelle legen fest, wie der infizierte Computer mit dem Command and Control Server kommuniziert. Alle wurden entwickelt, um sich der Entdeckung so effektiv wie möglich zu entziehen.

1. Zentralisierte Architektur

Dies ist wahrscheinlich das gängigste Modell, ähnlich wie eine Client-Server-Transaktionsarchitektur. Wenn ein neuer Computer von einem Bot infiziert wird, tritt er dem Botnetz bei, indem er eine Verbindung zum C&C-Server herstellt. Sobald er dem Kanal beigetreten ist, wartet der Bot auf dem C&C-Server auf Befehle vom Botmaster. Angreifer nutzen oft weit verbreitete Hosting-Dienste für C2c-Server.

Dieses Modell kann leicht zu erkennen und zu blockieren sein, da die Befehle von einer Quelle stammen. Daher kann die IP schnell entdeckt und blockiert werden. Einige Cyberkriminelle haben ihren Ansatz jedoch angepasst, indem sie Load Balances, Redirectoren und Proxys in ihrem Setup einsetzen. In diesem Fall ist die Entdeckung eine größere Herausforderung.

2. Peer-to-Peer (P2P) Architektur

Dieses Modell ist dezentralisiert. Anstatt sich auf einen zentralen Server zu verlassen, übertragen die Botnet-Mitglieder ihre Befehle zwischen den Knotenpunkten. Dadurch ist das P2P-Modell viel schwieriger zu erkennen. Selbst wenn sie entdeckt werden, ist es in der Regel nur möglich, einen Knoten auf einmal auszuschalten.

Das Peer-to-Peer-Modell wird häufig in Verbindung mit dem zentralisierten Modell für eine hybride Konfiguration verwendet. Die P2P-Architektur dient als Ausweichlösung, wenn der Hauptserver kompromittiert wird oder ausfällt.

3. Zufällige Architektur

Das Modell der Zufallsarchitektur ist bei weitem am schwersten zu erkennen. Das ist gewollt. Ziel ist es, das Sicherheitspersonal daran zu hindern, den C&C-Server aufzuspüren und auszuschalten oder die Befehlskette des Botnets zu identifizieren. Dieses Modell funktioniert durch die Übertragung von Mitteilungen an den infizierten Host (oder das Botnetz) von verschiedenen Quellen aus:

  • IRC-Chaträume
  • CDNs
  • Kommentare in sozialen Medien
  • E-Mail

Cyberkriminelle verbessern ihre Erfolgsaussichten, indem sie vertrauenswürdige, häufig genutzte Quellen auswählen.

 

Von C&C anvisierte Geräte

Command-and-Control-Angriffe können auf nahezu jedes Computergerät abzielen, einschließlich, aber nicht beschränkt auf.

  • Smartphones
  • Tabletten
  • Desktops
  • Laptops
  • IoT-Geräte

IoT-Geräte haben das Potenzial, aus verschiedenen Gründen einem erhöhten C&C-Risiko ausgesetzt zu sein:

  • Sie sind aufgrund der begrenzten Benutzeroberflächen schwer zu steuern.
  • IoT-Geräte sind in der Regel von Natur aus unsicher.
  • Intelligente Objekte werden nur selten gepatcht, wenn überhaupt.
  • Geräte im Internet der Dinge (IoT) tauschen über das Internet große Mengen an Daten aus.

 

Was Hacker durch Command and Control erreichen können

  1. Malware-Lieferung: Mit der Kontrolle über einen kompromittierten Rechner im Netzwerk eines Opfers können Angreifer den Download weiterer Malware auslösen.
  2. Datendiebstahl: Sensible Daten, wie z.B. Finanzdokumente, können kopiert oder auf den Server eines Angreifers übertragen werden.
  3. Abschalten: Ein Angreifer kann einen oder mehrere Rechner ausschalten oder sogar das Netzwerk eines Unternehmens lahmlegen.
  4. Reboot: Infizierte Computer können plötzlich und wiederholt herunterfahren und neu starten, was den normalen Geschäftsbetrieb stören kann.
  5. Verteidigungsausweichen: Angreifer versuchen in der Regel, den normalen, erwarteten Datenverkehr zu imitieren, um nicht entdeckt zu werden. Je nach Netzwerk des Opfers übernehmen die Angreifer die Befehls- und Kontrollfunktion mit unterschiedlichem Grad an Heimlichkeit, um Sicherheitstools zu umgehen.
  6. Verteilter Denial-of-Service: DDoS-Angriffe überwältigen Server oder Netzwerke, indem sie sie mit Internetverkehr überfluten. Sobald ein Botnetz aufgebaut ist, kann ein Angreifer jeden Bot anweisen, eine Anfrage an die Ziel-IP-Adresse zu senden. Dadurch entsteht ein Stau von Anfragen für den Zielserver.

    Das Ergebnis ist wie ein Verkehrsstau auf einer Autobahn - legitimer Verkehr zu der angegriffenen IP-Adresse wird abgewehrt. Diese Art von Angriff kann dazu verwendet werden, eine Website lahmzulegen. Lernen Sie mehr über DDoS-Angriffe in der Praxis.

Heutige Angreifer können bösartigen C2-Code anpassen und vervielfältigen, wodurch es einfacher wird, sich der Entdeckung zu entziehen. Das liegt an den ausgefeilten Automatisierungswerkzeugen, die heute zur Verfügung stehen, obwohl sie traditionell von Sicherheitsteams (Red Teams) verwendet werden.

Wie können Sie Angreifer davon abhalten, DNS gegen Sie zu verwenden? Lesen Sie unser White Paper und erfahren Sie, welche Schritte Sie unternehmen können.

 

Kommando und Kontrolle FAQs

Angreifer verwenden verschiedene Methoden, um C2-Kanäle einzurichten, darunter:

  • Einbetten von bösartigem Code in E-Mail-Anhänge oder Links.
  • Ausnutzung von Schwachstellen in Software oder Hardware.
  • Nutzung kompromittierter Websites zur Verbreitung von Malware.
  • Einsatz von Social-Engineering-Techniken, um Benutzer zum Ausführen bösartiger Nutzdaten zu verleiten.
  • Nutzung von legitimen Diensten und Protokollen wie HTTP/HTTPS, DNS und sozialen Medien, um die Entdeckung zu umgehen.
C2-Angriffe beginnen in der Regel mit einer Malware, die ein Gerät innerhalb eines Netzwerks infiziert. Diese Malware stellt dann die Kommunikation mit einem entfernten C2-Server her, der vom Angreifer kontrolliert wird. Der C2-Server sendet Anweisungen an das infizierte Gerät, die es dem Angreifer ermöglichen, verschiedene bösartige Aktivitäten auszuführen, z. B. sensible Daten zu sammeln, die Malware zu verbreiten oder Sicherheitskontrollen zu deaktivieren. Zu den Kommunikationskanälen gehören HTTP/HTTPS, DNS, E-Mail und benutzerdefinierte Protokolle.
Häufige Anzeichen für einen C2-Angriff sind ungewöhnlicher ausgehender Datenverkehr, Kommunikation mit bekannten bösartigen IP-Adressen oder Domänen, wiederholte fehlgeschlagene Anmeldeversuche, unerwartetes Systemverhalten und unbekannte oder nicht autorisierte Software. Anomalien im Netzwerk, wie z.B. unregelmäßige Datenflüsse oder ungewöhnliche Ports und Protokolle, können auf mögliche C2-Aktivitäten hinweisen.

Organisationen können sich gegen C2-Angriffe verteidigen, indem sie robuste Sicherheitsmaßnahmen implementieren, darunter:

  • Verwendung fortschrittlicher Tools zur Bedrohungserkennung, um verdächtige Aktivitäten zu identifizieren und zu blockieren.
  • Segmentierung des Netzwerks zur Eindämmung der Verbreitung von Malware.
  • Aktualisieren und patchen Sie Ihre Systeme regelmäßig, um Sicherheitslücken zu schließen.
  • Kontinuierliche Überwachung und Protokollierung des Netzwerkverkehrs.
  • Aufklärung der Mitarbeiter über Phishing- und Social Engineering-Angriffe.
  • Nutzen Sie Threat Intelligence, um über neue C2-Taktiken und -Infrastrukturen informiert zu bleiben.
Die Folgen eines erfolgreichen C2-Angriffs können schwerwiegend sein und umfassen Datenschutzverletzungen, finanzielle Verluste, Rufschädigung, Unterbrechung von Diensten und rechtliche Strafen. Angreifer können vertrauliche Informationen stehlen, Ransomware bereitstellen oder kompromittierte Systeme als Startrampe für weitere Angriffe nutzen. Die langfristigen Auswirkungen sind oft mit erheblichen Wiederherstellungskosten und Anstrengungen zur Wiederherstellung von Sicherheit und Vertrauen verbunden.
Verwandter Inhalt
Was ist ein Botnetz?
Ein Botnet ist ein Netzwerk von Computern, die mit Malware infiziert sind, um Befehle unter der Fernsteuerung eines Bedrohungsakteurs auszuführen.
Schützen Sie Ihr Netzwerk mit Deep Learning und maschinellem Lernen
Palo Alto Networks Advanced Threat Prevention ist die erste IPS-Lösung, die unbekannte, ausweichende Befehle und Kontrollen mit Hilfe einzigartiger Deep-Learning-Modelle blockiert.
Siehe den Ansatz von Palo Alto Networks zur Intrusion Prevention
Palo Alto Networks Threat Prevention geht über herkömmliche Intrusion-Prevention-Systeme hinaus, indem es den gesamten Datenverkehr untersucht und bekannte Bedrohungen automatisch ...
Was ist ein Intrusion-Prevention-System?
Ein Intrusion Prevention System (IPS) ist eine Technologie zur Netzwerksicherheit, die den Datenverkehr im Netzwerk untersucht, um bösartige Bedrohungen zu erkennen und zu verhinde...

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen