C&C SUNUCULARINI ANLAMAK

C&C SUNUCULARI VE BOTNET KAVRAMI ARASINDAKİ İLİŞKİ

Komut ve kontrolü anlamak (C2, CnC veya C&C), kötü amaçlı yazılım olaylarını etkili bir şekilde tespit etmek, analiz etmek ve düzeltmek için çok önemlidir.

Kökenleri askeri terminolojiye dayanan "komuta ve kontrol" ifadesi, bir saldırganın tehlikeye atılmış bir sistemi kontrol etmek ve kontrol etmek için kullandığı yaklaşımı ifade eder.

Kötü amaçlı yazılım dünyasında, C2 tipik olarak kurban bir sistemde rastgele komutlar yürütmek, bir saldırganın tehlikeye girme durumunu bildirmek veya bilgi sızdırmak için kullanılır.

İster bir Botnet'i yönetiyor, ister çalınan çıktıyı son kullanıcıya iletiyor olsun, C2 saldırgan ile hedef arasındaki iletişimi sağlar.C2 kanalları, tek bir ana bilgisayarı yönetmek veya milyonlarca makineden oluşan bir botnet'i kontrol etmek için kullanılabilir.

Yani Komuta ve kontrol sunucuları (C2'ler), kötü amaçlı yazılım operasyonunun beyinleridir. C2’ler Saldırganların uzaktan kumandaları olarak hizmet ederler.

Günümüzde dört ana C2 ortamı kullanılmaktadır:

· Saldırgan tarafından fiziksel kontrolü altında merkezi bir sunucu

· Bulletproof hosting

· Sosyal Ağlar

· Bulut Servisleri

Bu ortamların her birinde C2'ler genellikle botnet'leri kontrol eder.

BOTNET NEDİR?

Botnet, tehdit eden aktörlerin İnternet üzerinden bağlanıp tekliflerini yapmak için kullandıkları kötü amaçlı yazılım bulaşmış, otonom cihazlardan (bilgisayarlar, IoT cihazları veya akıllı telefonlar) oluşan bir ağdır. Etkilenen sistemlerin çoğu özel bilgisayarlardır.

Aslında BOTNET bir TROJAN ile enfekte olan ve bir C&C sunucusu tarafından kontrol edilen makinedir.

Neden iletişim gereklidir?

Botnet'lerin amacına ve yapısına dayanan komutlar dizilerinin, C&C'den alınan belirli talimatları izlemesidir. Amaç, Kredi kartı numaraları gibi hassas bilgileri toplamak, istenmeyen e-postalar göndermek ve hatta DDoS saldırılarının gerçekleştirilmesine yardımcı olmak için kullanılabilen anahtar kaydediciler yüklerler.

Botnet'ler, komutların raporlarını ve sonuçlarını C&C sunucusuna yüklemekle beraber, Botmasterın (C&C) ile onlara yapmasını söylediği her şeyi yapar.

Genel olarak, virüslü uç ana bilgisayarlar (botlar olarak adlandırılır) ağı, botnet'ler tarafından tanımlanır ve bu ağlar aslında Botmaster adı verilen bir insan tarafından kontrol edilir. Yani botmaster, c2 yi kullanarak botnetleri kontrol eder.

Tıpkı botnet'teki cihazlara "bots" (veya "zombies") dediğimiz gibi, onları kontrol eden saldırgana "bot header " veya "botmaster" diyebiliriz

Bot ağları farklı biçimlerde veya topolojilerde gelir:

Merkezi (The Centralized) C&C Modeli

Ağındaki her bota bağlanan bir C2'ye sahip merkezi bir sistemdir;

Bir tane sunucu ve birden fazla istemcinin olabileceği komuta kontrol mimarisidir. Bu mimari diğerlerine nazaran daha güvenli ve sağlam bir sistem oluşturur. Fakat tek sunucuya olan bağlılıktan dolayı sunucuya gelebilecek herhangi bir hasarda sistem çalışmaz hale gelir.

  • Bu sistem / sunucu hem yazışmaları hem de müşteri hesabı verilerini saklayacaktır.

  • Çoğu açık mesajlaşma aşaması, birleşik bir organizasyon kullanır.

  • Ek olarak, konsantre ana bilgisayar yapısı olarak adlandırılır.

Peer-to-peer C&C

Her istemcinin, aslında sunucu da olabileceği mimari türüdür.

  • Yazması daha zordur.

  • Dinamiktir ve birden çok yol üzerinden iletişim kurarak siber güvenlik ekibinin işini çok daha zor hale getirir.

P2p, eşler arasında işlerin veya ödenmemiş yüklerin paylaştırıldığı, dolaştırılmış bir uygulama tasarımıdır.

Hiyerarşik (Random Model) C&C

Hiyerarşik olup, burada birden çok C2 botların farklı, koordineli görevleri yerine getirmesine ve tüm sisteminin daha zor algılanmasına olanak tanıyan katmanlı bir sistem halinde düzenlenmiştir;

  • Bu tür botnet'lerin uyku hali son derece yüksektir ve bir analist tarafından yakalanan tek bir botla tanımlanacak bir botnet içindeki çok sayıda botu sıklıkla hesaba katacaktır.

  • Açık dağıtılmış organizasyonlar üzerinde karıştırılmış bottan bota yazışmalarının yaygın olarak olağanüstü türleri, daha kafa karıştırıcı bir C&C ana bilgisayar coğrafyasıyla ilgili olarak (örneğin, TDL-4 botnet), yok edilmesi özellikle zor olan bu tür botnet'leri sunmak için kullanılır.

Bu mimari aktif bir bağlantı ve iletişim sağlamamakla beraber, istemci sürekli dinlemektedir. Sunucu bütün interneti tarayarak istemcisini bularak haberleşme sağlanır. Büyük ölçekli komuta kontrol işleri için kullanımı çok zordur.

C2 Botnet saldırıları oldukça dirençlidir ve yukarıda bahsedilen çeşitliliğin tümü, çeşitli kötü niyetli faaliyetlere borçludur.

Last updated