Explicação dos Ataques de Comando e Controle (C&C)

O que são ataques de comando e controle?

C&C (também conhecido como C2) é um método usado por cibercriminosos para se comunicar com dispositivos comprometidos dentro da rede de uma empresa visada.

Em um ataque C&C, o invasor usa um servidor para enviar comandos para computadores comprometidos por malware e receber dados deles. O servidor também é conhecido como servidor C2 ou C&C. Em um ataque desse tipo, o invasor usa um servidor para enviar comandos para computadores comprometidos por malware e para receber dados desses computadores. O servidor também pode agir como central de comando para uma botnet, que consiste em uma rede de dispositivos infectados. A comunicação C&C é uma etapa fundamental no processo de execução de um ataque a uma rede ou na oferta de serviços maliciosos a outros atores.

Alguns invasores abusam de serviços existentes baseados na nuvem para ocultar seus servidores de C&C, dificultando a detecção. Podem existir um ou mais canais de comunicação entre o computador de uma vítima ou de toda uma organização e a plataforma controlada pelo hacker. O invasor usa esses canais para transmitir instruções aos dispositivos comprometidos. O DNS é um meio de comunicação amplamente adotado para as comunicações de ataques de C&C.

Como funcionam os ataques de C&C?

Um ataque de C&C é cuidadosamente elaborado pelos ciber criminosos e pode ser dividido em etapas:

1. Ponto de entrada

O adversário inicia o ataque com o objetivo de penetrar na rede alvo, utilizando a entrega de malware como vetor. Alguns dos métodos mais comuns de entrega de malware incluem e-mails de phishing, downloads silenciosos, acesso não autorizado com credenciais roubadas e abuso de vulnerabilidades existentes. Se o ataque for bem-sucedido, o adversário avança para a próxima etapa.

2. Estabelecimento da conexão C&C

Depois de abrir uma porta traseira, o atacante usa canais de C&C para instruir e controlar os dispositivos comprometidos e o malware presente na rede.

3. Movimento lateral e persistência

Uma vez dentro da rede, o atacante compromete outras máquinas para coletar credenciais, aumentar seus próprios níveis de privilégio e manter controle sobre a rede comprometida.

4. Descoberta de dados

O invasor emprega diversas técnicas para identificar servidores e sistemas valiosos que contêm dados de alto valor para o ataque.

5. Exfiltração de dados

Depois da coleta dos dados, o ciber criminoso os transfere para um servidor interno de staging, onde são divididos em partes menores, compactados e criptografados e, posteriormente, enviados para locais externos.

Tipos de ataques de C&C

Depois que o perpetrador estabelece uma conexão C&C, ele pode executar múltiplos ataques em sequência. Configura alguns exemplos:

Ataques de C&C na espionagem cibernética

A espionagem cibernética é primariamente utilizada para coletar dados sensíveis ou confidenciais, segredos comerciais ou outras formas de propriedade intelectual (PI) que o invasor pode usar para obter vantagem geopolítica, vantagem competitiva ou vender para ganho financeiro. Em algumas situações, o ataque iniciado pelos canais de Comando e Controle (C&C) tem como objetivo meramente prejudicar a reputação da vítima, expondo informações confidenciais ou práticas comerciais questionáveis.

Ataques de espionagem cibernética também podem ser implementados em operações militares, como atos de ciberterrorismo ou mesmo como parte de uma guerra cibernética. O impacto da espionagem cibernética, especialmente quando integrada a campanhas militares ou políticas mais amplas, pode causar o interrompimento de serviços públicos e infraestrutura essenciais, e até mesmo resultar na perda de vidas.

Independentemente do método usado para obter acesso à organização da vítima, na maioria dos casos, os ataques de espionagem cibernética dependem do estabelecimento de uma conexão de Comando e Controle (C&C) para roubar dados confidenciais ou secretos.

Detecção e prevenção

Na execução de ataques de C&C, os ciber criminosos demonstram uma notável capacidade de inovação. Ataques de C&C empregam técnicas "lentas e silenciosas" que conseguem burlar as ferramentas de segurança tradicionais, pois cada ação individual que compõe a ameaça maior é, por si só, pequena demais para ser detectada. Esses ataques visam operar por longos períodos, mimetizando o tráfego legítimo e minimizando interrupções nas transferências de dados ou nos níveis de conexão.

Devido à capacidade de se ocultar dos ataques de C&C, o monitoramento dos sistemas de uma organização em busca de atividades não autorizadas pode exigir recursos consideráveis. As organizações precisam de sistemas robustos de detecção e prevenção que ofereçam a capacidade de responder de forma confiável às seguintes perguntas críticas:

1. Minha rede tem atividade de C&C?
2. Trata-se de uma botnet comum ou um possível ataque direcionado?
3. Qual é o risco?
4. Quem controla o ataque, de onde ele está vindo?
5. As minhas ferramentas de segurança são capazes de bloquear e corrigir imediatamente ataques de C&C ou preciso lidar com o risco manualmente?

Sinais de um ataque de C&C

Devido ao papel fundamental das comunicações de Comando e Controle nas etapas finais de um ataque, a detecção proativa de tráfego malicioso de C&C é essencial para a identificação de atividades não autorizadas. De fato, a maioria dos ataques direcionados de grande repercussão poderia ter sido descoberta se os profissionais de segurança tivessem monitorado atentamente as comunicações de rede maliciosas.

As organizações podem identificar comunicações de rede maliciosas através da inspeção de pacotes de rede, examinando-os em busca de padrões de configuração de C&C, como:

• Caminhos de URL de C&C conhecidos
• Domínios possivelmente maliciosos ou nomes de domínio parecidos
• Cabeçalhos de pacotes suspeitos
• Comunicações de rede suspeitas
• Portas e protocolos incomuns

Esses sinais consistentes de um ataque de C&C oferecem às organizações a oportunidade de verificar a existência de campanhas de ciber ataque em andamento nas redes. Embora mudanças nas comunicações de rede de uma campanha não sejam incomuns, os padrões de tráfego de rede de C&C de uma campanha são mais difíceis de alterar do que os servidores, domínios ou malware usados pelo ator de ameaças.

Proteção contra ataques de C&C

As organizações têm que adotar medidas proativas para garantir a detecção de atividades de C&C, usando ferramentas de segurança com as seguintes capacidades:

Varredura e filtragem de todo o tráfego

Como os canais de C&C frequentemente se confundem com dados legítimos do Sistema de Nomes de Domínio (DNS), a inspeção do tráfego de entrada e de saída é essencial para identificar atividades suspeitas, como a criptografia não autorizada do tráfego de rede (geralmente usada em operações de encapsulamento de DNS) e o tráfego direcionado a servidores desconhecidos.

Monitoramento de comportamentos estranhos

Anomalias no tráfego podem indicar a presença de uma estação de trabalho infectada ou atividade de malware. É importante garantir que as funcionalidades de monitoramento de atividades suspeitas da sua ferramenta de segurança sejam capazes de detectar tentativas de transferência de arquivos de dados de grande dos seus sistemas.

Varredura de sistemas com software de proteção de endpoint

O uso de uma solução de proteção de endpoint robusta e comprovada — idealmente uma solução de detecção e resposta de endpoint (EDR) — permite descobrir e erradicar atividades de malware nos computadores host. Fazer isso elimina o vírus que seria usado para comunicação com os servidores de C&C, interrompendo a rota de comunicação clandestina.

Consequências de ataques de C&C

Independentemente de como um adversário consegue se infiltrar em uma organização, a abertura de um canal de comunicação de C&C invariavelmente resulta em comprometimentos de dados caso o ataque não seja detectado. Como resultado, os ataques de C&C podem ter impactos negativos e de longo alcance nas vítimas.

Um ataque de C&C bem-sucedido que cause o comprometimento de dados vai consumir os recursos da empresa e aumentar os custos operacionais. Esse tipo de ataque pode, inclusive, desencadear um efeito cascata capaz de levar empresas à falência e encerrar suas atividades.

Segundo o Relatório de Custo do Comprometimento de Dados de 2022 do Ponemon Institute, o custo médio de um comprometimento de dados deve atingir a marca de US$ 5 milhões em 2023. Os custos associados a comprometimentos de dados podem incluir o pagamento de resgates, a perda de receita devido à interrupção das operações, despesas com respostas a incidentes, honorários advocatícios e multas regulatórias.

Solução da CrowdStrike

A tecnologia de proteção de endpoints representa a primeira linha de defesa contra ameaças como malware e ataques de C&C. A solução de proteção de endpoints da CrowdStrike é ativada em questão de minutos e oferece cobertura 24 horas por dia, facilitando que pequenas e médias empresas (PMEs) tenham proteção de ponta sem a complexidade geralmente associada às soluções de segurança.

A plataforma CrowdStrike Falcon^® impede ataques com uma plataforma unificada de cibersegurança que descobre a atividade adversária com acesso interativo de toda a estrutura MITRE ATT&CK^®, do estágio de acesso inicial e comando e controle até a exfiltração.