Hướng dẫn - Cập nhật lần cuối 03/05/2022

Các cuộc tấn công theo lệnh và kiểm soát cho phép tin tặc chiếm toàn bộ mạng hoặc biến các PC riêng lẻ thành một đội quân bot mà chúng có thể sử dụng để đặt cược. Bạn có thể đã nghe nói về chúng gần đây khi Hoa Kỳ phá vỡ mạng botnet “Cyclops Blink” bằng cách chiếm quyền điều khiển một số thiết bị bị nhiễm và xóa phần mềm độc hại trên tàu, nhưng đây là những gì bạn nên biết về các cuộc tấn công này.

Tấn công theo lệnh và kiểm soát là gì?

Các cuộc tấn công mạng ra lệnh và kiểm soát (viết tắt là C2 hoặc C&C) xảy ra khi những kẻ tấn công xâm nhập vào hệ thống và cài đặt phần mềm độc hại cho phép chúng gửi lệnh từ xa từ máy chủ C2 tới các thiết bị bị nhiễm. Thiết bị đầu tiên bị nhiễm thường sẽ tự động lây nhiễm cho bất kỳ thiết bị nào khác mà nó tương tác, vì vậy trong trường hợp là một mạng chuyên nghiệp, toàn bộ hệ thống có thể nhanh chóng bị kẻ tấn công chiếm đoạt.

Có nhiều cách mà kẻ tấn công có thể lây nhiễm thiết bị và cũng có nhiều các loại tấn công chúng có thể được thực thi ngay khi ở bên trong hệ thống. Phù hợp với công ty an ninh mạng Palo Alto Networkshơn 80% phần mềm độc hại sử dụng Hệ thống tên miền (DNS) để xác định máy chủ C2 nhằm đánh cắp dữ liệu và phát tán phần mềm độc hại.

C2 hoạt động như thế nào?

minh họa về phong bì treo lơ lửng trên không, được bảo vệ bằng lưỡi câu để gợi ý một cuộc tấn công email lừa đảo

(Hình minh họa: GOCMEN / Getty Images)

Đầu tiên, kẻ tấn công phải lấy được phần mềm độc hại bên trong hệ thống mục tiêu. Điều này có thể thông qua các kỹ thuật kỹ thuật xã hội như email lừa đảo, quảng cáo giả mạo dẫn đến các trang web độc hại hoặc các ứng dụng và plugin trình duyệt đáng ngờ. Họ thường sử dụng các sự kiện hiện tại hoặc văn hóa đại chúng để thu hút sự chú ý của mọi người, từ COVID-19 đến các trò chơi điện tử. Trong một số trường hợp, những kẻ tấn công xâm nhập vật lý vào hệ thống bằng cách sử dụng một thứ gì đó như thẻ USB có chứa phần mềm độc hại.

Khi ai đó vô tình tải xuống phần mềm độc hại bằng cách nhấp vào liên kết hoặc bằng cách cài đặt bản cập nhật phần mềm có vẻ hợp pháp, họ sẽ gửi một lệnh xác định trước trở lại máy chủ lưu trữ của họ, thường thông qua các đường truyền đáng tin cậy và không thể theo dõi. DNS là một trong những lộ trình như vậy.

Một khi lệnh được gửi đi, thiết bị bị nhiễm sẽ trở thành một “bot”, một thây ma kỹ thuật số dưới sự kiểm soát của kẻ tấn công. Sau đó, nó phát tán phần mềm độc hại sang các thiết bị khác, biến họ vào bot, mở rộng vùng kiểm soát của kẻ tấn công và tạo ra một mạng lưới bot hoặc “botnet”.

Nhiều cuộc tấn công C2 được thiết kế để không bị phát hiện càng lâu càng tốt, đặc biệt là khi dữ liệu bị đánh cắp. Theo Palo Alto Networks, những người khác sử dụng chung của C2 bao gồm:

  • Hack máy chủ để khai thác tiền điện tử

  • Phá hủy dữ liệu

  • Tắt máy, bao gồm toàn bộ mạng

  • Khởi động lại từ xa các thiết bị bị nhiễm để làm gián đoạn hệ thống

  • Các cuộc tấn công từ chối dịch vụ (DDoS) được phân tán trên các mạng bị nhiễm

C2 cũng có thể được sử dụng để mã hóa dữ liệu và giữ hệ thống làm con tin chống lại các cuộc tấn công ransomware.

Thật dễ dàng để tưởng tượng hậu quả có thể thảm khốc như thế nào nếu kẻ tấn công chiếm quyền kiểm soát một hệ thống quan trọng như mạng máy tính bệnh viện hoặc nhà máy xử lý nước và tắt nó đi. Khi ngày càng có nhiều thiết bị và hệ thống, chẳng hạn như các tiện ích, kết nối với Internet of Things (IoT), việc bảo vệ chống lại các cuộc tấn công C2 là rất quan trọng.

Cách cấu trúc các cuộc tấn công Command và Control

ảnh chụp sàn của một phòng máy chủ tối với cạnh của sàn và các máy chủ được khoanh màu xanh lam

(Hình ảnh: Jasmine Merdan / Getty Images)

Trong những ngày đầu của Internet, những kẻ tấn công có một máy chủ vật lý dưới sự kiểm soát của chúng và thực hiện các cuộc tấn công từ đó. Ngày nay, nhiều cuộc tấn công C2 được thực hiện từ các máy chủ trên đám mây.

Đôi khi kẻ tấn công sẽ sử dụng một máy chủ duy nhất mà phần mềm độc hại sẽ gửi tin nhắn để nhận hướng dẫn. Điều này có thể được giảm thiểu một cách dễ dàng vì địa chỉ IP của máy chủ C2 có thể bị phát hiện và bị chặn để ngăn chặn giao tiếp tiếp theo. Tuy nhiên, nếu kẻ tấn công sử dụng proxy để che đi địa chỉ IP thực của chúng, việc bảo vệ sẽ trở nên khó khăn hơn.

Thông thường, những kẻ lừa đảo sử dụng nhiều máy chủ để thực hiện một cuộc tấn công. Nó có thể là một số máy chủ thực hiện cùng một cuộc tấn công để tạo bản sao lưu trong trường hợp một trong số chúng bị lỗi hoặc các nhóm máy chủ được tổ chức theo hệ thống phân cấp.

Những kẻ tấn công cũng có thể làm cho các máy tính bị nhiễm trong mạng botnet hoạt động như một mạng ngang hàng (P2P), giao tiếp với nhau một cách ngẫu nhiên chứ không phải từ một máy chủ trung tâm. Điều này gây khó khăn cho việc tìm ra nguồn lây nhiễm. Theo nhà sản xuất phần mềm an ninh mạng DNSFilter, cách tiếp cận này thường được sử dụng cùng nhau với một cuộc tấn công vào một máy chủ – nếu máy chủ gặp sự cố, tùy chọn P2P sẽ là một phương án dự phòng.

Được giới thiệu bởi các biên tập viên của chúng tôi

Cách phòng thủ trước cuộc tấn công của C2

một số hàng khóa minh họa

(Hình minh họa: Flavio Coelho / Getty Images)

Mặc dù ý nghĩ về việc người khác nắm quyền kiểm soát hệ thống của bạn khiến bạn buồn, nhưng có những điều bạn có thể làm để bảo vệ chính mình.

Đầu tiên, đó là giáo dục. Hướng dẫn bất kỳ ai có quyền truy cập vào mạng của bạn về các kỹ thuật xây dựng mạng xã hội thường được sử dụng bởi những kẻ tấn công mạng. Một khi mọi người nhận ra các dấu hiệu, họ sẽ ít có khả năng bị lừa hơn nhiều. Cho họ thấy email lừa đảo trông như thế nào, cách đánh giá tính bảo mật của bản tải xuống, v.v.

Thứ hai, sử dụng tường lửa. Mặc dù nó sẽ không bảo vệ khỏi những kẻ xâm nhập đã có bên trong hệ thống của bạn, nhưng nó sẽ giúp ngăn những người không thể lừa họ vào. Tường lửa giới hạn số lượng dữ liệu có thể vào và rời khỏi mạng, còn các URL và địa chỉ IP đáng ngờ thì có thể.

Blog an ninh mạng Tripwire cũng đề xuất phân đoạn mạng như một biện pháp bảo vệ. Việc chia mạng của bạn thành các mạng con nhỏ hơn chỉ có thể giao tiếp với nhau trong nhóm của riêng chúng sẽ ngăn không cho bất kỳ phần mềm độc hại nào vượt qua được hàng rào bảo vệ khác trở nên phổ biến. Họ sử dụng ví dụ về hệ thống điểm bán hàng (POS) trong các cửa hàng bán lẻ. Chúng chỉ có thể giao tiếp với một số lượng rất hạn chế các máy khác trên mạng, vì vậy ngay cả khi phần mềm độc hại làm sạch thẻ tín dụng xâm nhập, nó sẽ không thể truyền dữ liệu bị đánh cắp đi rất xa.

Điều này không chỉ đúng với các cuộc tấn công C2 mà còn đúng với hầu hết mọi mối đe dọa mạng. Giáo dục và bảo mật tốt không đáng tin cậy, nhưng chúng sẽ đi một chặng đường dài trong việc ngăn chặn các cuộc tấn công và rò rỉ dữ liệu.

Nội dung tương tự:

Cách tạo phim trên điện thoại thông minh của bạn

Hướng dẫn • 03/04/2022

tăng tốc Trong một thời gian, màn hình điện thoại thông minh đóng vai trò như bộ ghép kênh di động, nhưng giờ đây ...

Sửa lỗi giới hạn thời gian cho màn hình an toàn gia đình của Microsoft Không hoạt động

Hướng dẫn • 18/05/2022

Microsoft Family cho phép cha mẹ quản lý thời gian sử dụng thiết bị của con mình với Microsoft Family Safety. Công cụ kiểm ...

Khắc phục sự cố mạng với Mã lỗi Amazon Prime Video 1061, 9912 hoặc 1004-LD

Hướng dẫn • 20/04/2022

Amazon Prime Video là một trong những cái tên nổi tiếng nhất trong ngành dịch vụ phát trực tuyến. Với hàng nghìn chương trình ...

Mobile Legends: Hướng dẫn cấp độ thiên giới và cách tăng cấp nhanh

Hướng dẫn • 19/09/2022

Khi chúng ta bắt đầu chơi Mobile Legends, cấp tài khoản rất quan trọng để mở khóa thêm nhiều tính năng trong trò chơi. ...