188BET×ãÇò

Skip to content Skip to navigation Skip to footer
Definition
Anf?llige Ger?te
Gefahren und Sch?den
Erkennung
H?ufig gestellte Fragen (FAQ)

Definition: Was sind Befehls- und Kontrollangriffe?

Ein Command-and-Control-Angriff ist eine Art von Angriff, bei dem Tools ?zur Kommunikation mit und Steuerung einer infizierten Maschine oder eines infizierten Netzwerks eingesetzt werden. Um so lange wie m?glich von einem Malware-Angriff zu ?profitieren, ben?tigt ein Hacker einen verdeckten Kanal oder eine Hintert¨¹r zwischen seinem Server und dem kompromittierten Netzwerk oder Computer. Der Cyber-Kriminelle-Server, ob eine einzelne Maschine oder ein ?Abotnet ?von Maschinen, wird als Command-and-Control-Server (C&C)-Server oder C2-Server bezeichnet.

Statistiken und Motivationen

Es gibt mehr als eine Milliarde Malware-Programme, von denen jeden Tag ?¨¹ber 300.000 entdeckt werden. Dieser wachsende Gespekter von Cyber-Angriffen ist nicht nur das Anliegen von Regierungen und gro?en Unternehmen.? zielen auf kleine und mittelst?ndische Unternehmen (KMU) ab.

F¨¹r Cyber-Kriminelle geht ein erfolgreicher Angriff ¨¹ber den unbefugten Zugang oder die Malware-Installation hinaus. Um von gestohlenen Daten zu profitieren, muss ein Hacker in der Regel unentdeckt im System oder Netzwerk bleiben, um kriminelle Aktivit?ten auszuf¨¹hren. Dazu verwenden sie einen Command-and-Control-Server (C&C).?C2-Server imitieren vertrauensw¨¹rdigen oder nicht ¨¹berwachten Datenverkehr, um eine Erkennung so lange wie m?glich zu vermeiden. Der von ihnen eingerichtete Backdoor-Kanal wird zu einem Mittel, um die Kontrolle ¨¹ber den Computer oder das Netzwerk des Opfers f¨¹r kriminelle Aktivit?ten zu ¨¹bernehmen, wie z. B. Datenexfiltration, Entf¨¹hrung von Computern zum Kryptow?hrungs-Mining oder das Herunterfahren ganzer Netzwerke.

Wie funktionieren Command-and-Control-Angriffe?

Damit ein ?Befehls- und Kontrollangriff funktioniert, muss der T?ter zun?chst die Zielmaschine oder das Zielnetzwerk ¨¹ber eine bestimmte Form von Cyber-Angriff wie Phishing, Social Engineering oder Malvertising mit Malware infizieren.

Ein infizierter Computer oder ein infiziertes Ger?t wird als Zombie bezeichnet. Nach der Kompromittierung stellt die Malware eine Kommunikation mit dem C2-Server her, um zu best?tigen, dass sie bereit ist, Befehle vom steuernden Server zu empfangen. ?ber den etablierten Kanal kann der kriminelle Host zus?tzliche Schadsoftware installieren, Daten extrahieren und die Infektion auf zus?tzliche Ressourcen verbreiten. Wenn der Befehls- und Steuerungsserver in der Lage ist, ganze Teile des Netzwerks zu kompromittieren, steuert er im Wesentlichen ein Botnet infizierter Maschinen.?

Was ist also C&C? Es ist der Dreh- und Angelpunkt eines Kommunikationssystems, das Hacker zur Steuerung der Computer ihrer Opfer verwenden.

?

Wie Befehls- und Kontrollangriffe funktionieren
Klicken Sie hier, um ein gr??eres Bild zu sehen

Anf?lligste Ger?te f¨¹r C2-Angriffe

Die meisten Unternehmen sind vor externen Angriffen gesch¨¹tzt, daher besteht die Herausforderung f¨¹r Hacker darin, einen Computer oder ein Netzwerk zu finden, der/das ?anf?llig f¨¹r Infektionen ist. Wenn ?sie Zugriff auf das System erhalten, sind ?interneNetzwerk-Sicherheitsma?nahmen? nat¨¹rlich weniger robust. Das zuerst infizierte Ger?t ist also m?glicherweise nicht das prim?re Ziel, sondern der Eingang zum System. Ein Hacker kann auf die folgenden Ger?te abzielen:

  1. Edge-Ger?te wie Router und Switches
  2. Internet der Dinge (IoT)-Ger?te, wie z. B. Handheld-Scanner
  3. Laptops
  4. Smartphones
  5. Tablets

Serverarchitektur bei C2-Angriffen

Es gibt keine einzige Architektur, die f¨¹r C&C-Angriffe verwendet wird, aber Hacker verwenden bestimmte Modelle.

Zentralisiert

Das zentralisierte Modell ?hnelt einem herk?mmlichen Client-Server-Modell sehr. Die auf dem/den infizierten Ger?t(en) installierte Malware fungiert als Client und ruft in regelm??igen oder zuf?lligen Abst?nden die Heimat des Servers an, um Anweisungen zu erhalten. Zentralisierte Architektur ist am einfachsten zu erkennen und zu entfernen, da sie ¨¹ber eine Single-Source-IP-Adresse verf¨¹gt. Um der Erkennung zu entgehen, m¨¹ssen Hacker Server entwerfen, die komplexer sind als herk?mmliche Server. ?Im Kontext dieser Befehls- und Kontrolldefinition k?nnen Hacker Load Balancer, Umleitungen und andere Abwehrma?nahmen verwenden. Dar¨¹ber hinaus ist es ¨¹blich, dass sie bekannte Websites und Public-Cloud-Dienste zum Hosten ihres Servers verwenden.

Peer-to-Peer (P2P)

P2P ist im Grunde ein dezentraler Server, der ein Botnet ohne Master oder zentralisiertes Modul verwendet. Es ist ein zweischneidiges Schwert, da es schwieriger zu erkennen ist, aber es ist auch schwieriger f¨¹r den Angreifer, Anweisungen f¨¹r das gesamte Botnet bereitzustellen. Eine Strategie, die von b?sartigen Parteien verwendet wird, ist die Einrichtung eines zentralisierten C2-Servers mit einem P2P-Servermodell als Backup, falls der zentralisierte C2 erkannt und entfernt wird.

Zuf?llig

Die zuf?llige C2-Architektur ist am schwierigsten zu erkennen und zu blockieren. Dies liegt daran, dass die Befehle aus verschiedenen zuf?lligen Quellen stammen, wie Content Delivery Networks (CDNs), E-Mails, Social-Media-Bildern und -Kommentare usw. Die Gefahr besteht darin, dass diese Quellen nicht nur zuf?llig sind, sondern im Allgemeinen vertrauensw¨¹rdig, ungesperrt und ungeahnt sind.

Gefahren und potenzielle Sch?den durch C2-Angriffe

Unabh?ngig vom verfolgten Modell kann eine Malware-Infektion, die einen Kanal f¨¹r Befehls- und Kontrollfunktionen er?ffnet, ein Unternehmen auf vielf?ltige kostspielige Weise gef?hrden. Und w?hrend der Schaden durch einige Angriffe auf einen Computer oder einen Teil des Netzwerks beschr?nkt ist, k?nnen sich andere Infektionen vor der Erkennung stark ausbreiten. Im Folgenden finden Sie einige der Gefahren und Sch?den, die durch C2-Angriffe entstehen:

Datendiebstahl

Der C&C-Kanal kann verwendet werden, um Daten zu exfiltrieren und auf den C2-Server zu kopieren. Dazu k?nnen sensible Unternehmens- oder Kundeninformationen, Finanzdokumente, gesch¨¹tztes Eigentum und andere Daten geh?ren, die genutzt oder verkauft werden k?nnen.

Neustart

Wiederholte, zuf?llige Abschaltungen, die von der infizierten Maschine eingeleitet werden, k?nnen den Betrieb st?ren und erfordern doppelte Anstrengungen durch das Personal. Die Kosten f¨¹r Ausfallzeiten und die geringere Produktivit?t k?nnen schwer zu messen sein, wirken sich aber definitiv auf das Endergebnis aus.

Malware/Ransomware

Eine Malware-Infektion im Netzwerk kann in mehrere Infektionen ¨¹bergehen. Dar¨¹ber hinaus kann das kompromittierte Netzwerk anderen Arten von Angriffen ausgesetzt werden, wie Ransomware, die Daten oder Konten mit Verschl¨¹sselung sperrt, bis das Unternehmen dem T?ter ein ?L?segeld¡° aus Geld, Kryptow?hrung oder sensible Daten zahlt.

Herunterfahren

Der Kriminelle, der die Kontrolle ¨¹ber die Ressourcen hat, k?nnte eine vollst?ndige Systemabschaltung verursachen oder das Unternehmen in L?segeld versetzen, um eine Abschaltung zu verhindern. Die Kosten k?nnen direkt finanziell oder infolge von Ausfallzeiten und verlorenen Ressourcen entstehen.

Distributed Denial-of-Service-Angriffe (DDoS)

Wenn sich die Infektion im gesamten Netzwerk ausbreitet, k?nnten die infizierten Maschinen verwendet werden, um ein Botnet zu bilden, das b?sartigen Parteien zur Verf¨¹gung steht. Dies bedeutet, dass potenzielle Gefahren sich auf andere Ressourcen oder sogar auf zus?tzliche Unternehmen ausbreiten k?nnen, da Botnets traditionell f¨¹r DDoS-Angriffe verwendet werden, bei denen Server oder Netzwerke mit Datenverkehr ¨¹berflutet werden, um sie zu ¨¹berlasten oder sogar offline zu nehmen.

So erkennen Sie den C&C-Datenverkehr

Ihr Unternehmen kann wachsam bleiben und C&C-Aktivit?ten erkennen, indem es die folgenden Schritte unternimmt:

  1. ?berwachen Sie den Datenverkehr.?Dies kann arbeitsintensiv und zeitaufw?ndig sein, ist aber notwendig. Auch wenn Sie im Rahmen ?IhrerDatensicherheitsstrategie? m?glicherweise nicht den gesamten Datenverkehr analysieren k?nnen, k?nnen Sie auf ungew?hnlich gro?en Datenaustausch oder nicht genehmigten Datenverkehr achten.
  2. Protokollieren und ¨¹berpr¨¹fen Sie DNS-Anfragen.?Da sich C2-Kan?le oft verschleiern, indem sie sich mit dem legitimen Domain Name System (DNS)-?Datenverkehr verbinden, kann die ?berpr¨¹fung von DNS-Anfragen auf Anomalien auch b?sartigen Datenverkehr aufdecken.
  3. Achten Sie auf Anomalien.?Auff?lligkeiten im Netzwerkverkehr k?nnen auf eine infizierte Maschine oder die Aktionen von Malware hinweisen.
  4. ?²ú±ð°ù±è°ù¨¹´Ú±ð²Ô Sie auf Verschl¨¹sselung.?Malware kann Verschl¨¹sselung verwenden, um Datenausbreitung zu verschleiern. Wenn Sie also ?berpr¨¹fungen zur ?berwachung der unbefugten Verwendung von Verschl¨¹sselung im Netzwerkverkehr einrichten, k?nnen Sie einen C&C-Angriff aufdecken.
  5. Nutzen Sie Boykotting. Durch das Boykottieren bekannter b?sartiger Hosts kann sichergestellt werden, dass kein internes Ger?t umgeleitet werden kann, um mit solchen Hosts zu kommunizieren. Auch wenn es nicht vor allen C&C-Aktivit?ten sch¨¹tzt, ist es eine n¨¹tzliche Ebene in Ihrer Sicherheit.

H?ufig gestellte Fragen zu Befehls- und Kontrollangriffen

Was ist ein Befehls- und Kontrollangriff?

Ein Befehls- und Kontrollangriff bezieht sich auf Methoden und Tools, die verwendet werden, um mit einer infizierten Maschine oder einem infizierten Netzwerk zu kommunizieren und zu steuern. Um so lange wie m?glich von einem Malware-Angriff zu profitieren, ben?tigt ein Hacker einen verdeckten Kanal oder eine Hintert¨¹r zwischen seinem Server und dem kompromittierten Netzwerk oder Computer. Der Cyber-Kriminelle-Server, ob eine einzelne Maschine oder ein Botnet von Maschinen, wird als Befehls- und Steuerungsserver, C2-Server oder C&C-Server bezeichnet.

Was ist ein Beispiel f¨¹r Befehl und Kontrolle?

Es gibt keine einzige Architektur, die f¨¹r C&C-Angriffe verwendet wird, aber ein Beispiel ist das zentralisierte Modell. Sie ?hnelt einem herk?mmlichen Client-Server-Modell sehr. Die auf dem/den infizierten Ger?t(en) installierte Malware fungiert als Client und ruft in regelm??igen oder zuf?lligen Abst?nden den Server zur Anweisung an.?

Cybersecurity-Ressourcen

Weiterf¨¹hrende Links

Sprechen Sie mit einem Experten

Bitte f¨¹llen Sie das Formular aus und ein sachkundiger Vertreter wird sich in K¨¹rze mit Ihnen in Verbindung setzen.