O que é um “servidor de comando e controle” para malware?

Uma rede de pequenos robôs azuis representando um botnet.
BeeBright / Shutterstock.com

Quer sejam violações de dados no Facebook ou ataques globais de ransomware, o crime cibernético é um grande problema. Malware e ransomware são cada vez mais usados ​​por malfeitores para explorar as máquinas das pessoas sem seu conhecimento, por vários motivos.

O que é comando e controle?

Um método popular usado por invasores para distribuir e controlar malware é o “comando e controle”, também chamado de C2 ou C&C. É quando os malfeitores usam um servidor central para distribuir secretamente malware para as máquinas das pessoas, executar comandos para o programa malicioso e assumir o controle de um dispositivo.

C&C é um método de ataque especialmente insidioso porque apenas um computador infectado pode derrubar uma rede inteira. Depois que o malware se executa em uma máquina, o servidor C&C pode comandá-lo para duplicar e se espalhar – o que pode acontecer facilmente, porque ele já passou pelo firewall da rede.

Depois que a rede é infectada, um invasor pode desligá-la ou criptografar os dispositivos infectados para bloquear os usuários. Os ataques de ransomware WannaCry em 2017 fizeram exatamente isso infectando computadores em instituições críticas, como hospitais, bloqueando-os e exigindo um resgate em bitcoin.

Como funciona o C&C?

Os ataques C&C começam com a infecção inicial, que pode acontecer por meio de canais como:

  • e-mails de phishing com links para sites maliciosos ou contendo anexos carregados com malware.
  • vulnerabilidades em certos plug-ins de navegador.
  • baixar software infectado que pareça legítimo.

O malware passa furtivamente pelo firewall como algo que parece benigno – como uma atualização de software aparentemente legítima, um e-mail urgente informando que há uma violação de segurança ou um anexo de arquivo inócuo.

Recomendado:  Os leitores Amazon Kindle em breve oferecerão suporte a livros EPUB (mais ou menos)

Depois que um dispositivo é infectado, ele envia um sinal de volta ao servidor host. O invasor pode então assumir o controle do dispositivo infectado da mesma forma que a equipe de suporte técnico pode assumir o controle do seu computador enquanto corrige um problema. O computador se torna um “bot” ou um “zumbi” sob o controle do invasor.

A máquina infectada então recruta outras máquinas (na mesma rede ou com as quais pode se comunicar), infectando-as. Eventualmente, essas máquinas formam uma rede ou “ botnet ” controlada pelo invasor.

Esse tipo de ataque pode ser especialmente prejudicial no ambiente de uma empresa. Sistemas de infraestrutura como bancos de dados de hospitais ou comunicações de resposta a emergências podem ser comprometidos. Se um banco de dados for violado, grandes volumes de dados confidenciais podem ser roubados. Alguns desses ataques são projetados para serem executados em segundo plano perpetuamente, como no caso de computadores sequestrados para minerar criptomoedas sem o conhecimento do usuário.

Estruturas C&C

Hoje, o servidor principal costuma ser hospedado na nuvem, mas costumava ser um servidor físico sob o controle direto do invasor. Os invasores podem estruturar seus servidores C&C de acordo com algumas estruturas ou topologias diferentes:

  • Topologia em estrela: os bots são organizados em torno de um servidor central.
  • Topologia de vários servidores: vários servidores C&C são usados ​​para redundância.
  • Topologia hierárquica: vários servidores C&C são organizados em uma hierarquia de grupos em camadas.
  • Topologia aleatória: os computadores infectados se comunicam como um botnet ponto a ponto (botnet P2P).

Os invasores usavam o protocolo Internet Relay Chat (IRC) para ataques cibernéticos anteriores, por isso ele é amplamente reconhecido e protegido hoje em dia. C&C é uma forma de os atacantes contornar as proteções destinadas a ameaças cibernéticas baseadas em IRC.

Recomendado:  Como adicionar programas, arquivos e pastas à inicialização do sistema no Windows

Desde 2017, os hackers têm usado aplicativos como o Telegram como centros de comando e controle para malware. Um programa chamado ToxicEye , que é capaz de roubar dados e gravar pessoas sem seu conhecimento por meio de seus computadores, foi encontrado em 130 casos apenas este ano.

O que os invasores podem fazer quando tiverem o controle

Depois que um invasor tem o controle de uma rede ou mesmo de uma única máquina dentro dessa rede, ele pode:

  • roubar dados transferindo ou copiando documentos e informações para seu servidor.
  • forçar uma ou mais máquinas a desligar ou reiniciar constantemente, interrompendo as operações.
  • conduzir ataques distribuídos de negação de serviço (DDoS) .

Como se Proteger

Como acontece com a maioria dos ataques cibernéticos, a proteção contra ataques C&C se resume a uma combinação de boa higiene digital e software de proteção. Você deve:

  • aprenda os sinais de um e-mail de phishing .
  • tenha cuidado ao clicar em links e anexos.
  • atualize seu sistema regularmente e execute um software antivírus de qualidade .
  • considere o uso de um gerador de senha ou reserve um tempo para criar senhas exclusivas. Um gerenciador de senhas pode criar e lembrá-los para você.

A maioria dos ataques cibernéticos exige que o usuário faça algo para ativar um programa malicioso, como clicar em um link ou abrir um anexo. Abordar qualquer correspondência digital com essa possibilidade em mente o manterá mais seguro online.