Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Управляющая связь

  • Печать
Обновлено 06.07.2025 06:41

 

Обычно вредоносные программы не могут быть полностью независимыми и автономными. Если бы это было так, вредоносное ПО было бы тяжеловесным, сложным, подозрительным и видимым для защитников. Большинству вредоносных программ во время работы требуется возможность получать указания, поэтому злоумышленники используют метод, называемый «командование и управление» (command and control, сокращенно C2, CnC или C&C), с помощью которого связываются с вредоносными программами, бэкдорами, имплантатами и скомпрометированными системами в атакованной сети. 

Операторы применяют связь C2 для передачи команд скомпрометированной системе, указывая ей загрузить данные, обновить конфигурацию или даже самоудалиться. Также имплантат C2 может инициировать обмен данными, отсылать статистику или ценные файлы, запрашивать новые команды или отправлять сигнал о том, что система находится в сети, а также ее местоположение и текущий статус. Субъекты киберугроз часто подготавливают инфраструктуру C2, включая доменные имена, IP-адреса и веб-сайты, за пару недель до проникновения.

Функциональность C2 широко известна, и многие брандмауэры, IDS/IPS и другие устройства безопасности и средства управления не дают злоумышленникам напрямую связываться с целевыми системами и получать информацию от них. Чтобы обойти эти меры защиты, злоумышленники постоянно разрабатывают более совершенные методы, тактики и процедуры C2. Например, данные C2 можно встраивать в полезную нагрузку команды ping или в команды, скрытые в изображениях, размещенных на общедоступных сайтах. Злоумышленники использовали C2 в лентах Twitter и комментариях на сайтах. Также C2 применяли для установки прокси-серверов и ретрансляторов электронной почты в скомпрометированных системах. После установки выполняется обмен данными через известные протоколы и безопасные сайты, которые не блокируются средствами безопасности и устройствами. Телефоны, подключенные к скомпрометированным системам, могут заражаться вредоносным ПО, которое при USB-соединении вызывает C2 через вышки сотовой связи, минуя брандмауэры и другие средства защиты сети и способствуя общению между злоумышленником и C2 во время зарядки аккумулятора телефона. В некоторых методах связи C2 задействуются мигающие светодиоды (словно сигнальный огонь), варьируется температура процессора (дымовой сигнал), используются звуки жестких дисков или динамиков ПК (звуковые барабаны) и волны электромагнитного спектра для преодоления воздушного зазора.

Злоумышленники реализуют С2 с помощью шифрования и других методов обеспечения конфиденциальности, чтобы поддерживать связь со скомпрометированной системой, не раскрывая своего присутствия. Они могут избежать обнаружения следующими способами.

Ограничением ежедневно передаваемого объема данных, чтобы изменения трафика оставались незамеченными (например, не более 100 Мбайт в день, чтобы замаскировать загрузку 1,5 Тбайт в течение двух недель).

Отправкой или получением маяков только во время работы активного пользователя, чтобы замаскировать трафик (поэтому лучше не отправлять маяки в нерабочее время).

Переключением на новые, случайные или динамически изменяемые точки C2, чтобы избежать статистических аномалий.

Регулярным созданием «нормального» трафика, чтобы избежать проверок и анализа поведения.

Отключением или удалением журналов активности, чтобы скрыть свое присутствие от экспертов.

Более сложные тактики С2 могут быть особенно ужасными, практически необнаруживаемыми и неблокируемыми. Пусть у нас есть ИT-администратор, работающий на Windows, который внедрил строгие средства управления брандмауэром, разрешая системе заходить только на сайт technet.microsoft.com — официальный веб-портал Microsoft для ИT-специалистов. Разрешен только протокол HTTPS, антивирус обновлен и работает, а операционная система полностью пропатчена. Никакие внешние программы, такие как электронная почта, Skype или iTunes, не работают, за исключением сайта Microsoft TechNet, который необходим администратору для выполнения своей работы.

Ситуация кажется безопасной, но теперь представим, что китайский пользователь APT17 закодировал в комментариях на Microsoft TechNet скрытые IP-адреса, которые взаимодействовали с трояном удаленного доступа BLACKCOFFEE в скомпрометированной системе [10]. Если бы вы проверили прокси-трафик, анализ поведения, эвристику аномалий, сигнатуры IDS, антивирус или предупреждения брандмауэра, никаких признаков злонамеренной связи не нашли бы.

В рамках усиления защиты для противодействия сложным C2 обычно создаются воздушные зазоры между системами, но в последние годы появились новые методы связи C2. Одним из примеров является использование USB-накопителя с руткитами или скомпрометированной прошивкой и вредоносными программами, которые после подключения к системе инициируют обмен данными с имплантатом в скомпрометированной системе, собирают упакованные данные и незаметно загружают их для фильтрации на внешний компьютер.

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.