Řídicí server pro malware
Řídící server pro malware, též označovaný jako C2 server, popřípadě C&C server (Command & Control server, nemá nic společného s počítačovou hrou Command & Conquer), je řídícím serverem, se kterým komunikuje malware[1][2]. Jak již název napovídá jedná se o server, který obsahuje vzdálené příkazy pro malware a který naslouchá na příchozí informace z malware. Mnoho kampaní používá servery v cloudu jako jsou například webový e-mail či služby sdílení souboru a poskytování obsahu (tzv. CDN systémy) proto, aby data splynula s normálním provozem a tedy bylo těžší zachytit, že se jedná o komunikaci s řídícím serverem[3].
Funkce řídících serverů
[editovat | editovat zdroj]Řídící servery slouží jako ovládací centra pro útoky spojené s daným typem malware. Obsahují databázi příkazů, které infikované počítače stáhnou, provedou akci a v závislosti na požadované akci případně poskytnou výstup požadované akce zpět na řídící server. Komunikace s řídícím serverem je důležitým krokem pro provádění vzdálené řízených útoků[4].
Řídící servery také velmi často bývají součástí botnetu a slouží jako centrální uzly pro kompromitové systémy. Mohou být použity k zadávání příkazů všem počítačům obětí, jako jsou například akce "šiř se dál", "přeruš webové služby" či "proveď DDoS útok na systém XYZ". Jako příklady můžeme provést například řídící servery pro malware Emotet či Trickbot.
Tyto řídící servery povětšinou používají pro komunikaci se infikovanými stroji pod ně spadajícími šifrovanou komunikaci, aby byly stěží odhalitelné. Jednou z metod odhalení však může být použití otisku JA3[5].
Často bývají součástí tzv. sítí Botnet[3].
Reference
[editovat | editovat zdroj]- ↑ Command and Control [C&C] Server - Definition. www.trendmicro.com [online]. [cit. 2021-04-19]. Dostupné online.
- ↑ Command and Control Explained. Palo Alto Networks [online]. [cit. 2021-04-19]. Dostupné online. (anglicky)
- ↑ a b Malware Patrol [online]. 2018-12-19 [cit. 2021-04-19]. Dostupné online. (anglicky)
- ↑ Command And Control Servers : Things You Should Know. SecPod Blog [online]. 2017-08-23 [cit. 2021-04-19]. Dostupné online. (anglicky)
- ↑ ALTHOUSE, John. TLS Fingerprinting with JA3 and JA3S. Medium [online]. 2019-01-15 [cit. 2021-04-19]. Dostupné online. (anglicky)