Of het nu gaat om datalekken op Facebook of wereldwijde ransomwareaanvallen, cybercriminaliteit is een groot probleem. Malware en ransomware worden om verschillende redenen steeds vaker door slechte actoren gebruikt om de machines van mensen zonder hun medeweten te misbruiken.
Wat is bevel en controle?
Een populaire methode die door aanvallers wordt gebruikt om malware te verspreiden en te controleren, is ‘command and control’, ook wel C2 of C&C genoemd. Dit is wanneer slechte actoren een centrale server gebruiken om heimelijk malware te verspreiden naar de machines van mensen, opdrachten uit te voeren naar het kwaadaardige programma en de controle over een apparaat over te nemen.
C&C is een bijzonder verraderlijke aanvalsmethode omdat slechts één geïnfecteerde computer een heel netwerk kan uitschakelen. Zodra de malware zichzelf op één computer uitvoert, kan de C & C-server het commando geven om te dupliceren en te verspreiden – wat gemakkelijk kan gebeuren, omdat het de netwerkfirewall al voorbij is.
Zodra het netwerk is geïnfecteerd, kan een aanvaller het uitschakelen of de geïnfecteerde apparaten versleutelen om gebruikers buiten te sluiten. De WannaCry-ransomwareaanvallen in 2017 deden precies dat door computers bij kritieke instellingen zoals ziekenhuizen te infecteren, ze te vergrendelen en losgeld in bitcoin te eisen.
Hoe werkt C&C?
C & C-aanvallen beginnen met de eerste infectie, die kan plaatsvinden via kanalen als:
- phishing-e-mails met links naar kwaadaardige websites of met bijlagen die zijn geladen met malware.
- kwetsbaarheden in bepaalde browserplug-ins.
- het downloaden van geïnfecteerde software die er legitiem uitziet.
Malware wordt langs de firewall geslopen als iets dat er goedaardig uitziet, zoals een schijnbaar legitieme software-update, een dringend klinkende e-mail waarin staat dat er een inbreuk op de beveiliging is of een onschadelijke bestandsbijlage.
Zodra een apparaat is geïnfecteerd, stuurt het een signaal terug naar de hostserver. De aanvaller kan vervolgens de controle over het geïnfecteerde apparaat overnemen op vrijwel dezelfde manier waarop technisch ondersteuningspersoneel de controle over uw computer overneemt tijdens het oplossen van een probleem. De computer wordt een “bot” of een “zombie” onder controle van de aanvaller.
De geïnfecteerde machine rekruteert vervolgens andere machines (hetzij in hetzelfde netwerk, of waarmee hij kan communiceren) door ze te infecteren. Uiteindelijk vormen deze machines een netwerk of “botnet” dat wordt beheerd door de aanvaller.
Dit soort aanvallen kan vooral schadelijk zijn in een bedrijfsomgeving. Infrastructuursystemen zoals ziekenhuisdatabases of noodhulpcommunicatie kunnen worden aangetast. Als een database wordt geschonden, kunnen grote hoeveelheden gevoelige gegevens worden gestolen. Sommige van deze aanvallen zijn ontworpen om voor altijd op de achtergrond te worden uitgevoerd, zoals in het geval van computers die zijn gekaapt om cryptocurrency te delven zonder medeweten van de gebruiker.
C & C-structuren
Tegenwoordig wordt de hoofdserver vaak gehost in de cloud, maar vroeger was het een fysieke server onder directe controle van de aanvaller. Aanvallers kunnen hun C & C-servers structureren volgens een paar verschillende structuren of topologieën:
- Stertopologie: bots zijn georganiseerd rond één centrale server.
- Multi-server-topologie: Meerdere C & C-servers worden gebruikt voor redundantie.
- Hiërarchische topologie: Meerdere C & C-servers zijn georganiseerd in een gelaagde hiërarchie van groepen.
- Willekeurige topologie: geïnfecteerde computers communiceren als een peer-to-peer-botnet (P2P-botnet).
Aanvallers gebruikten het internet relay chat (IRC) -protocol voor eerdere cyberaanvallen, dus het wordt tegenwoordig grotendeels herkend en waartegen het wordt beschermd. C&C is een manier voor aanvallers om waarborgen te omzeilen die gericht zijn op op IRC gebaseerde cyberdreigingen.
Al vanaf 2017 gebruikten hackers apps zoals Telegram als commando- en controlecentra voor malware. Een programma met de naam ToxicEye, dat in staat is om gegevens te stelen en mensen zonder hun medeweten via hun computers op te nemen, werd dit jaar in 130 gevallen gevonden.
Wat aanvallers kunnen doen als ze eenmaal de controle hebben
Zodra een aanvaller controle heeft over een netwerk of zelfs een enkele machine binnen dat netwerk, kan hij:
- gegevens stelen door documenten en informatie over te dragen of te kopiëren naar hun server.
- een of meer machines dwingen om uit te schakelen of constant opnieuw op te starten, waardoor de werking wordt verstoord.
- gedistribueerde denial of service (DDoS) -aanvallen uit te voeren.
Hoe u uzelf kunt beschermen
Zoals bij de meeste cyberaanvallen komt bescherming tegen C & C-aanvallen neer op een combinatie van goede digitale hygiëne en beschermende software. Je zou moeten:
- leer de tekenen van een phishing-e-mail.
- wees voorzichtig met het klikken op links en bijlagen.
- werk uw systeem regelmatig bij en gebruik antivirussoftware van hoge kwaliteit.
- overweeg om een wachtwoordgenerator te gebruiken of neem de tijd om unieke wachtwoorden te bedenken. Een wachtwoordbeheerder kan ze voor u maken en onthouden.
Bij de meeste cyberaanvallen moet de gebruiker iets doen om een kwaadaardig programma te activeren, zoals op een link klikken of een bijlage openen. Door elke digitale correspondentie met die mogelijkheid in gedachten te benaderen, blijft u online veiliger.
VERWANT: Wat is de beste antivirus voor Windows 10? (Is Windows Defender goed genoeg?)
