Kampania: Serwery C2
Czy znalazłeś się kiedyś w sytuacji, że Twój system działał wolniej niż zwykle, wskakiwały dziwne powiadomienia o błędach, a aplikacje same się zamykały? Do tego ładowanie stron w przeglądarce trwało wieki, szybkość łącza wydawała się w porządku?
Cóż, bardzo prawdopodobne, że Twój komputer stał się częścią botnetu kontrolowanego przez zdalny serwer Command and Control.
Serwery Command & Control, zwane w skrócie C2, są wykorzystywane przez atakujących do utrzymywania komunikacji i sterowania zainfekowanymi przez malware komputerami. Jeśli jeden serwer C2 kontroluje całą sieć komputerów, mówimy wtedy o botnecie, czyli armii podległych atakującemu maszyn w sieci, które mogą wykonywać jego rozkazy.
Praktycznie każdy zaawansowany malware, mający określony cel do zrealizowania w zainfekowanym systemie, prędzej czy później będzie próbował nawiązać połączenie z serwerem C2. Wysłać do niego skradzione informacje lub zapytanie o dalsze rozkazy. Serwery Command & Control są więc bardzo popularne w świecie cyberbezpieczeństwa, a wiedza na ich temat może być przydatna dla bezpiecznika.
W kampanii przedstawimy różne metody funkcjonowania serwerów C2, opowiemy o najbardziej znanych, a także o zabezpieczeniach, które powinny uchronić nasz komputer.
Malware wykorzystujący kody odpowiedzi HTTP do komunikacji z serwerem C2
Zespół specjalistów z Kaspersky odkrył i opisał nową, usprawnioną wersję popularnego malware COMpfun. Malware ten jest z kategorii Remote Access … Czytaj dalej
Jak rozłożyliśmy serwer „PoshC2” na łopatki – scenariusz konfiguracji i zdalnego ataku!
W dzisiejszym, kolejnym artykule kampanii z cyklu Command&Control wzięliśmy na warsztat środowisko C2 o nazwie PoshC2. Pokażemy jego instalację oraz … Czytaj dalej
Serwery Command & Control. Czym są i jaka jest ich rola we współczesnych cyberatakach
Niewiele tematów w obecnym świecie cyberbezpieczeństwa generuje tyle pytań ile serwery Command & Control (C2), po polsku zwane czasami, bardzo … Czytaj dalej
Uruchomienie złośliwego kodu poprzez serwer C2 z wykorzystaniem protokołu LDAP w Active Directory
W tym artykule opiszemy i pokażemy, jak za pomocą protokołu LDAP w Active Directory będziemy mogli w legalny sposób zakodować … Czytaj dalej
Atak na użytkowników w sieci lokalnej poprzez sfałszowanie komunikacji LLMNR i NBT-NS. Przykład i porady.
W tym artykule przedstawimy ciekawy atak Man-in-the-middle (atak pośredniczący) służący do przejmowania poświadczeń użytkowników. Wciąż popularny i wykonywany w niezabezpieczonej … Czytaj dalej
Ciekawa metoda na wykonanie ruchu bocznego i atakowanie komputerów w sieci – na przykładzie bezplikowego narzędzia SCShell i DNS-Shell
W dzisiejszym artykule opiszemy nową, ciekawą metodę, za pomocą której można wykonać ruch boczny w środowisku Windows i odpalić na … Czytaj dalej
Eksfiltracja danych z komputerów w sieci za pomocą ICMP oraz tunelowania
W tym artykule dowiesz się, jak za pomocą protokołu ICMP cyberprzestępcy mogą wykonać eksfiltrację danych (wykradanie danych) z komputerów w … Czytaj dalej