Command und Control Server (C und C Server, C2 Server, Kontrollserver)

Was ist ein Command & Control Server?

Ein Command & Control Server (C&C Server, C2 Server, Kontrollserver) ist ein Computer, der Anweisungen an digitale Geräte sendet, die mit Rootkits oder anderen Arten von Malware wie Ransomware infiziert wurden. C2 Server können dazu verwendet werden, leistungsfähige Netzwerke infizierter Geräte zu erstellen, die DDoS-Angriffe (Distributed Denial-of-Service) durchführen, Daten stehlen, Daten löschen oder Daten verschlüsseln können, um ein Erspressungsschema auszuführen. In der Vergangenheit stand ein Kontrollserver häufig unter der physischen Kontrolle eines Angreifers und konnte mehrere Jahre aktiv bleiben. Heutzutage haben C&C Server im Allgemeinen eine kurze Haltbarkeit. Sie befinden sich häufig in legitimen Cloud-Diensten und verwenden automatisierte Domänengenerierungsalgorithmen (DGAs), um es den Strafverfolgungsbehörden und White-Hat-Malware-Jägern zu erschweren, sie zu finden.

Eigenschaften

Ein böswilliges Netzwerk unter der Kontrolle eines Command & Control Server (C&C Server, C2 Server, Kontrollserver) wird als Botnet bezeichnet und die zum Botnet gehörenden Netzwerkknoten werden manchmal als Zombies bezeichnet. In einem traditionellen Botnetz werden die Bots mit einem Trojaner infiziert und verwenden den Internet Relay Chat (IRC) zur Kommunikation mit einem zentralen Kontrollserver. Diese Botnets wurden häufig verwendet, um Spam oder Malware zu verbreiten und missbrauchte Informationen wie Kreditkartennummern zu sammeln.

Beliebte Botnet-Topologien umfassen:

Sterntopologie

Die Bots sind um einen zentralen Server herum organisiert.

Multi-Server-Topologie

Es gibt mehrerer C2 Server für Redundanz.

Hierarchische Topologie

Mehrere C2 Server sind in Gruppen angeordnet.

Zufällige Topologie

Kooptierte Computer kommunizieren als Peer-to-Peer-Botnet (P2P-Botnet).

Da die Kommunikation mit dem Internet Relay Chat (IRC) normalerweise zum Steuern von Botnetzen verwendet wurde, wird häufig gegen diese geschützt. Dies hat das Streben nach verdeckten Wegen für Command & Control Server (C&C Server, C2 Server, Kontrollserver) motiviert, Befehle auszugeben. Alternative Kanäle, die für Botnet-Befehle verwendet werden, umfassen JPEG-Bilder, Microsoft Word Dateien und Beiträge von LinkedIn- oder Twitter-Dummy-Accounts.

Anwendungen

Command & Control Server (C&C Server, C2 Server, Kontrollserver) Protokolle wurden auf verschiedene Weise implementiert, von traditionellen IRC-Ansätzen bis zu komplexen Versionen.

Telnet

Telnet-Botnets verwenden ein einfaches Command & Control Server (C&C Server, C2 Server, Kontrollserver)-Botnet-Protokoll, in dem sich Bots auf dem Hauptbefehlsserver verbinden, um das Botnetz zu hosten. Bots werden dem Botnetz mithilfe eines Scannerskripts hinzugefügt. Das Scanskript wird auf einem externen Server ausgeführt und durchsucht IP-Bereiche nach Standard-Anmeldungen für Telnet- und SSH-Server. Sobald ein Login gefunden wurde, wird es einer Infektionsliste hinzugefügt und über SSH vom Scannerserver aus mit einer Infektionsliste infiziert. Wenn der SSH-Befehl ausgeführt wird, infiziert er den Server und weist den Server an, einen Ping-Befehl an den Steuerungsserver zu senden und wird zu seinem Slave aus dem Schadecode, der ihn infiziert. Sobald Server mit dem Server infiziert, kann der Bot-Controller DDoS-Angriffe mit hohem Volumen mithilfe des Command & Control Server (C&C Server, C2 Server, Kontrollserver) auf dem Host-Server starten. Diese Arten von Botnetzen wurden verwendet, um große Webseites wie das Xbox- und Playstation-Netzwerk von einer bekannten Hacking-Gruppe namens Lizard Squad zu zerstören.

Neben dem Protokoll Telnet werden noch weitere Anwendungen implementiert, wie z. B. IRC, P2P, Domains und andere.

Sie haben noch Fragen?

Kontaktieren Sie uns