Глоссарий
Что такое C2 (command and control) — канал, через который злоумышленники управляют устройством после взлома
C2 (Command and Control) — канал, через который взломанное устройство «звонит обратно» на сервер злоумышленника за командами и для вывода данных. Как его выдаёт beaconing и как защититься: контроль исходящего трафика и DNS, IOC/IOA.
«После взлома как именно злоумышленник продолжает управлять устройством?» Этот трафик и есть C2. Разберём, как он работает и как его обнаружить и остановить (без инструментов и деталей проведения атак).
Где он находится в цепочке атаки
C2 — это не сам взлом, он идёт после него.
Важный момент: исходящий трафик на шаге (2) — это шанс обнаружить и оборвать. Предотвратить взлом на 100% сложно, но есть пространство, чтобы заметить и остановить его на выходе.
Как его обнаружить (подсказки)
| Подсказка | На что смотреть |
|---|---|
| Beaconing (периодический трафик) | Регулярный исходящий трафик на один и тот же адрес через равные промежутки |
| Незнакомые адреса | Подозрительные домены/IP (сопоставление с известными вредоносными = IOC) |
| Странный DNS | Запросы к незнакомым доменам; аномально много DNS |
| Неожиданные пути | Исходящий трафик по неожиданным портам/протоколам |
Как защищаться
Не дать себя взломать в принципе (фундамент)
Ограничить выход (egress)
Мониторить DNS и журналы трафика
Сопоставлять и блокировать известные вредоносные адреса
Мнение этого сайта: защищайте «выход», а не только вход — и подтверждение «нет C2» — часть расследования
Главный урок, который несёт концепция C2, — что защита бывает не только на входе (на взломе). Даже когда идеальная профилактика недостижима, есть пространство, чтобы ограничить выход (исходящий трафик) и заметить подозрительные обратные звонки. На этом сайте мы держим главной целью «проектирование, которое не дают взломать (обновления, минимум привилегий, MFA)», но при этом сохраняем контроль исходящего трафика и мониторинг трафика как последний рубеж. Заметьте: при подозрении на взлом подтверждение того, что нет резидентного C2 (бэкдора или скрытого периодического трафика) — ключевой шаг: чтобы заключить «воздействие было ограничено», нельзя пропустить проверку стороны выхода.
Читать дальше
- Глоссарий: Что такое RCE · Что такое IOC · Что такое IOA · Что такое программа-вымогатель
FAQ
QЧто такое C2 (command and control)?
Это канал удалённого управления, через который скомпрометированное устройство (ПК/сервер, заражённый вредоносным ПО или захваченный через уязвимость) «звонит обратно» на сервер злоумышленника — чтобы получать команды и отправлять украденные данные. В цепочке атаки это стадия после успешного взлома (например, RCE), нужная для дальнейшего управления устройством.
QКак обнаружить C2?
Ключ — исходящий трафик. Заражённое устройство часто шлёт периодический «пульс» (beacon) на сервер злоумышленника через равные промежутки. Регулярный периодический трафик на необычный адрес, DNS-запросы к незнакомым доменам и исходящий трафик по неожиданным портам/протоколам — это подсказки. Их можно ловить по следам (IOC) или по поведению (IOA).
QКаковы основы защиты от C2?
(1) Не дать себя взломать в принципе (обновления, минимум привилегий, MFA); (2) ограничить выход — «фильтрация исходящего трафика», ограничивающая исходящие соединения; (3) мониторить DNS и журналы трафика, чтобы замечать подозрительный периодический трафик или адреса; (4) сопоставлять известные вредоносные адреса C2 (IOC) из threat-фидов и блокировать их. Ключевая идея: взлом можно остановить не только на входе, но и на выходе.