Glossário
O que é C2 (comando e controle) — o canal que atacantes usam para controlar um dispositivo após uma invasão
C2 (comando e controle) é o canal que um dispositivo comprometido usa para ligar de volta ao servidor do atacante e receber comandos — a etapa após a invasão. Como detectar o beaconing e se defender (controle de saída, DNS, IOC/IOA).
"Após uma invasão, como o atacante continua controlando o dispositivo?" Esse tráfego é o C2. Veja como ele funciona e como detectá-lo e detê-lo (sem ferramentas de ataque nem detalhes de operação).
Onde ele se encaixa no fluxo do ataque
O C2 não é a invasão em si — ele vem depois dela.
O ponto importante: o tráfego de saída em (2) é a chance de detectar e cortar. Prevenir uma invasão 100% é difícil, mas há espaço para perceber e detê-la na saída.
Como detectá-lo (pistas)
| Pista | O que observar |
|---|---|
| Beaconing (tráfego periódico) | Tráfego de saída regular para o mesmo destino em intervalos |
| Destinos desconhecidos | Domínios/IPs suspeitos (cruze com sabidamente maliciosos = IOCs) |
| DNS estranho | Consultas a domínios desconhecidos; DNS anormalmente intenso |
| Caminhos inesperados | Tráfego de saída por portas/protocolos inesperados |
Como se defender
Não ser invadido em primeiro lugar (fundamento)
Restringir a saída (egress)
Monitorar logs de DNS e tráfego
Cruzar e bloquear destinos sabidamente maliciosos
A visão deste site: defenda a 'saída', não só a entrada — e confirmar 'não há C2' faz parte da investigação
A maior lição que o conceito de C2 traz é que a defesa não é só na entrada (a invasão). Mesmo quando a prevenção perfeita é difícil, há espaço para restringir a saída (tráfego de saída) e perceber callbacks suspeitos. Neste site mantemos "um design que não é invadido (correções, privilégio mínimo, MFA)" como o objetivo principal, enquanto também sustentamos o controle de saída e o monitoramento de tráfego como última linha. Note que, quando há suspeita de invasão, confirmar que não há C2 residente (um backdoor ou tráfego periódico clandestino) é um passo fundamental — para concluir que "o impacto foi limitado", você não pode pular a verificação do lado da saída.
Leia a seguir
- Glossário: O que é RCE · O que é um IOC · O que é um IOA · O que é ransomware
FAQ
QO que é C2 (comando e controle)?
É o canal de controle remoto que um dispositivo comprometido (um PC/servidor infectado por malware ou dominado por uma vulnerabilidade) usa para 'ligar de volta' ao servidor do atacante — para receber comandos e enviar dados roubados. No fluxo de um ataque, é a etapa após a invasão (por exemplo, um RCE) ter sucesso, usada para continuar controlando o dispositivo.
QComo é possível detectar o C2?
A chave é o tráfego de saída. Um dispositivo infectado costuma enviar um 'sinal de vida' periódico (um beacon) ao servidor do atacante em intervalos regulares. Tráfego periódico regular para um destino incomum, consultas de DNS a domínios desconhecidos e tráfego de saída por portas/protocolos inesperados são pistas. Você pode capturá-las por meio de rastros (IOCs) ou de comportamento (IOAs).
QQuais são os fundamentos da defesa contra C2?
(1) Não ser invadido em primeiro lugar (correções, privilégio mínimo, MFA); (2) restringir a saída — 'filtragem de saída' que limita o tráfego de saída; (3) monitorar logs de DNS e tráfego para perceber tráfego periódico ou destinos suspeitos; (4) cruzar destinos de C2 sabidamente maliciosos (IOCs) de feeds de ameaças e bloqueá-los. A ideia central: uma invasão pode ser interrompida não só na entrada, mas também na saída.