C&C İLETİŞİMİ
Last updated
Was this helpful?
Last updated
Was this helpful?
C&C iletişiminin kodunu çözmeye başlamadan önce trafiği toplamanız gerekir. Bu, zaman alıcı olabilir ve çoğu durumda yalnızca sınırlı sonuçlar verir.
Ek olarak, trafiğin büyük bir kısmı kodlanacak (veya şifreli bir kanala kapatılabilir), bu da analizi daha da zorlaştıracaktı. Birde üstüne karmaşıklığa ek olarak, trafikte tam olarak ne olduğunu bilmiyorsanız, kötü amaçlı yazılımın yalnızca bir işaretçi mi gönderdiğini veya gizli şirket belgelerini sızdırdığını belirlemenin hiçbir yolu yoktur.
Trafiği tam olarak analiz ettiğinizde, saldırganlar zaten hedeflerine ulaşmış ve ortamı terk etmiş olabilir.
Bazı durumlarda, yine de trafikte ne olduğunu anlamaya çalışmalıyız ancak olayı hemen kontrol altına almak için analize zaman ayırmanın ve riski kabul etmenin faydalarını tartmamız gerekir.
Bir alternatif olarak , olayı aynı anda içerirken trafiği bir Honeypot yardımı ile yeniden yönlendirerek kötü amaçlı yazılımı aldatabiliriz.
ABD Ordusu Araştırma Laboratuvarı tarafından geliştirilen Dshell ve MITER tarafından geliştirilen ChopShop gibi trafiğin kodunu çözmenize yardımcı olabilecek modüler Python framworkleri de vardır . Bu araçlar trafiğin hızlı bir şekilde kodunu çözmek için harika olsalar da, yalnızca C&C trafiğiyle çalışmak için temel bilgileri sağlarlar. Başka bir yaklaşım, trafiğe neden olan kötü amaçlı yazılımı analiz etmektir. Bu, temel kötü amaçlı yazılım tersine mühendislik yetenekleri gerektirir.
Bir numuneyi analiz etmeye başlamadan önce, güvenliği ihlal edilmiş bir ana bilgisayardan bir numune almanız gerekir.
Ne olursa olsun, C & C'lerin ilk tespitine dayalı olarak güvenliği ihlal edilmiş ana bilgisayarların bir listesini oluşturmalı ve analizden olay yanıtının sınırlama aşamasına geçerken göstergeler arasında geçiş yapmalıyız ki ağın ne kadarına sızdı ve hangi hassas verilere erişim sağladığı hakkında bilgimiz olsun.
Birçok farklı komuta ve kontrol trafiği türü vardır. En yaygın olanlardan dördüne daha yakından bakalım.
Bir ana bilgisayarın güvenliği ihlal edildiğinde bir işaret gönderilir; bu aslında kötü amaçlı yazılımdır ve saldırgana "evini çağırır" işareti yollar
Saldırganları konakçının hayatta olduğu konusunda bilgilendirmek için bir tür kalp atışı olarak bir işaret de gönderilir. Bu, düzenli aralıklarla veya yeniden başlatma gibi bir sistem olayının sonucu olabilmektedir.
C&C'den bir beacon'a verilen yanıt, güvenliği ihlal edilen ana bilgisayar tarafından yürütülmesi gereken bir komut olabilir.
Bu komutun yürütülmesi anında yapılabilir veya daha sonra işlenmek üzere kuyruğa alınabilir.Bazı komutlar ayrıca, tehlikeye atılan makinedeki saldırgana biraz etkileşimli bir Remote Shell verir.
Veri hırsızlığı, istemcinin sunucudan gelen komut yürütme isteğine verdiği yanıttır. Cevap, talepten hemen sonra, örneğin işaretin bir parçası olarak düzenli aralıklarla veya belirli bir zamanda gönderilebilir. İstemci yanıtının yükü, sistemde depolanan belgelerin veya e-postaların bir komutun veya dışarı sızmasının sonucu ile ölçülebilir.
Ana bilgisayarın hala internet bağlantısına sahip olduğunu doğrulamak için bir bağlantı kontrolü kullanılır.
Bu kontrol düzenli aralıklarla yapılabilir ,örneğin bir işaretten önce ve başarısız olduğunda, kötü amaçlı yazılım yapılandırmasını yeniden deneyebilir veya değiştirebilir.
Bazı durumlarda, kendini eğer güvende hissetmiyorsa kendisini sistemden otomatik olarak kaldıracaktır.
Hatta tüm sistemi silemeye kadar ileri gidebilir. Connectivity Check, saldırganların altyapısına veya genel DNS'ler veya web sunucuları gibi kötü amaçlı olmayan altyapılara yapılabilir. Bu, tespit edilmesini zorlaştırır.
Dağıtıldığı ortama bağlı olarak kötü amaçlı yazılım, C&C trafiğinin farklı aşamalarını kullanabilir, yedek iletişim kanallarını uygulayabilir veya çok bantlı iletişimi kullanabilir, bu da iletişimi farklı protokoller arasında böldüğü anlamına gelir.
