कमान और नियंत्रण क्या है Server (सी एंड सी Server)?

एक आदेश और नियंत्रण (C2) server यह एक ऐसी प्रणाली है जो सॉफ्टवेयर या उपकरणों के दूरस्थ नियंत्रण को सक्षम बनाती है और साइबर सुरक्षा के संदर्भ में, यह अक्सर हमलावर द्वारा संचालित बुनियादी ढांचे को संदर्भित करती है जिसका उपयोग समझौता किए गए सिस्टम को प्रबंधित करने के लिए किया जाता है।

“आदेश और नियंत्रण” का क्या अर्थ है? Server" अर्थ?

एक आदेश और नियंत्रण server यह एक केंद्रीकृत या वितरित सेवा है जिससे एक रिमोट सॉफ्टवेयर एजेंट निर्देश प्राप्त करने और परिणाम वापस भेजने के लिए जुड़ता है। साइबर सुरक्षायह शब्द आमतौर पर हमलावरों द्वारा प्रारंभिक उल्लंघन के बाद समझौता किए गए सिस्टम को दूर से नियंत्रित करने के लिए उपयोग किए जाने वाले बुनियादी ढांचे को संदर्भित करता है।

एक बार किसी डिवाइस के हैक हो जाने पर, उस डिवाइस पर मौजूद एक दुर्भावनापूर्ण एजेंट (जिसे अक्सर बॉट, इम्प्लांट या बीकन कहा जाता है) C2 से एक आउटबाउंड संचार चैनल स्थापित कर लेता है। serverयह एक निर्धारित समय पर या ट्रिगर के जवाब में जाँच करता है, और फिर कार्यों को निष्पादित करता है। server असाइन करता है। इन कार्यों में कमांड चलाना, अतिरिक्त पेलोड डाउनलोड करना या अपडेट करना शामिल हो सकता है। पार्श्व गतिमान अन्य सिस्टमों तक पहुंच पहुंचाना, डेटा को बाहर निकालना, या पहुंच को इस तरह बनाए रखना कि रीबूट और क्रेडेंशियल परिवर्तन के बाद भी एक्सेस बरकरार रहे।

दुर्भावनापूर्ण उद्देश्यों के अलावा, इसी तरह के कमांड-एंड-रिस्पॉन्स आर्किटेक्चर का उपयोग रिमोट एडमिनिस्ट्रेशन, डिवाइस मैनेजमेंट और ऑर्केस्ट्रेशन जैसे वैध उद्देश्यों के लिए भी किया जा सकता है। हालांकि, सुरक्षा संबंधी चर्चाओं में, "कमांड एंड कंट्रोल" लगभग हमेशा हमलावर द्वारा संचालित बुनियादी ढांचे का वर्णन करता है।

आदेश और नियंत्रण के प्रकार Servers

कमांड और कंट्रोल इंफ्रास्ट्रक्चर को अलग-अलग तरीकों से बनाया जा सकता है, यह इस बात पर निर्भर करता है कि हमलावर विश्वसनीयता, गोपनीयता और हमलों से बचाव के बीच संतुलन कैसे बनाना चाहते हैं। ये सबसे आम C2 हैं। server सुरक्षा अनुसंधान और टूलिंग में आपको जिन प्रकारों का वर्णन मिलेगा, वे इस प्रकार हैं।

केंद्रीकृत (एकल-Server) सी2

एक केंद्रीकृत C2 एक मुख्य का उपयोग करता है server (या एक छोटा निश्चित सेट) servers) जिसने संक्रमित किया अंतबिंदु निर्देशों और रिपोर्टिंग के लिए इससे जुड़ें। इसका संचालन सरल है और यह बहुत प्रतिक्रियाशील हो सकता है, लेकिन इसे बाधित करना भी उतना ही आसान है: यदि रक्षक इसे अवरुद्ध कर दें, जब्त कर लें या इसमें छेद कर दें तो... server या उसके डोमेन पर, हमलावर पूरे क्षेत्र पर अपना नियंत्रण खो सकता है। botnet जब तक कि वहाँ backups.

स्तरित या पदानुक्रमित C2 (बहु-स्तरीय)

एक स्तरीय C2 ऑपरेटर और संक्रमित एंडपॉइंट्स के बीच कई परतें जोड़ता है, जैसे कि रीडायरेक्टर, प्रॉक्सी या "रिले" नोड्स जो ट्रैफ़िक को एक छिपे हुए एंडपॉइंट पर अग्रेषित करते हैं। बैकेंडइससे स्रोत का पता लगाना और सामग्री हटाना कठिन हो जाता है क्योंकि एंडपॉइंट सीधे वास्तविक नियंत्रण से संपर्क नहीं करते हैं। serverऔर हमलावर पूरे बुनियादी ढांचे का पुनर्निर्माण किए बिना बाहरी परत को बार-बार बदल सकता है।

पीयर-टू-पीयर (पी2पी) सी2

In P2P C2 में, संक्रमित उपकरण एक केंद्रीय प्रणाली पर निर्भर रहने के बजाय, कमांड और अपडेट वितरित करने के लिए एक दूसरे से संवाद करते हैं। serverइससे लचीलापन बढ़ता है क्योंकि कोई असफलता की एक भी वजहलेकिन इसे लागू करना आमतौर पर अधिक जटिल होता है और यदि पीयर डिस्कवरी और मैसेज प्रोपेगेशन को सावधानीपूर्वक डिजाइन नहीं किया जाता है तो यह अधिक आसानी से पता चलने योग्य नेटवर्क व्यवहार उत्पन्न कर सकता है।

डोमेन जनरेशन एल्गोरिथम (डीजीए)-आधारित सी2

डीजीए-आधारित सी2 निर्भर करता है मैलवेयर यह बड़ी संख्या में संभावित डोमेन (अक्सर समय या सीड के आधार पर) उत्पन्न करता है और तब तक कनेक्ट करने का प्रयास करता है जब तक कि उसे हमलावर द्वारा उस अवधि के लिए पंजीकृत डोमेन न मिल जाए। इससे हमलावरों को स्थिर ब्लॉकलिस्ट से बचने और कार्रवाई के बाद तेजी से उबरने में मदद मिलती है, लेकिन यह मजबूत सुरक्षा घेरा छोड़ देता है। डीएनएस-पैटर्न संकेत जिन्हें रक्षक असामान्यताओं का विश्लेषण करके पहचान सकते हैं डोमेन लुकअप

“डेड ड्रॉप”/अतुल्यकालिक C2

किसी लाइव उपयोगकर्ता के साथ सीधा सत्र बनाए रखने के बजाय serverयह मैलवेयर निर्देशों के स्थान की जाँच करता है और परिणामों को अन्यत्र प्रसारित करता है, अक्सर सामान्य वेब सेवाओं या फ़ाइल होस्टिंग तंत्रों का उपयोग करके। इससे निरंतर पहुँच योग्य C2 एंडपॉइंट की आवश्यकता कम हो जाती है और यह सामान्य ट्रैफ़िक में घुलमिल जाता है, लेकिन इससे ऑपरेटर का नियंत्रण धीमा हो सकता है और यह दुरुपयोग की जा रही तृतीय-पक्ष सेवा की स्थिरता पर निर्भर करता है।

Cloud और SaaS-होस्टेड C2

यहां, C2 चलता है cloud बुनियादी ढांचा या सामान्य उपयोग सास अवयव (CDNs, object storage, serverकम एंडपॉइंट्स) सामान्य एंटरप्राइज़ ट्रैफ़िक की तरह दिख सकते हैं और तेज़ प्रोविज़निंग और वैश्विक पहुंच का लाभ उठा सकते हैं। डिफेंडर पूरे सिस्टम को ब्लॉक करने में हिचकिचा सकते हैं। cloud प्रदाताओं के माध्यम से हमलावरों को सुरक्षा मिल सकती है, लेकिन इन व्यवस्थाओं को अकाउंट हैकिंग और मजबूत पहचान/टेलीमेट्री नियंत्रणों के माध्यम से बाधित किया जा सकता है।

गुप्त चैनल C2 (गैर-मानक प्रोटोकॉल)

गुप्त-चैनल C2 कमांड ट्रैफ़िक को उन प्रोटोकॉल या फ़ील्ड के अंदर छुपाता है जो आमतौर पर इंटरैक्टिव नियंत्रण डेटा नहीं ले जाते हैं, जैसे कि DNS टनलिंग। ICMPया सामान्य के भीतर एप्लिकेशन-लेयर "छिपाना" HTTP(एस) पैटर्न। लक्ष्य निरीक्षण या निकास नियंत्रणों से बचना है, लेकिन इन चैनलों में अक्सर बैंडविड्थ सीमाएं निर्धारित हैं और विसंगति का पता लगाने, प्रोटोकॉल सत्यापन और सख्त निकास फ़िल्टरिंग द्वारा उजागर की जा सकती हैं।

कमांड और कंट्रोल कैसे काम करता है? Server काम?

एक आदेश और नियंत्रण server यह एक रिमोट "कंट्रोल प्लेन" प्रदान करके काम करता है, जिससे प्रभावित डिवाइस निर्देश प्राप्त करने और परिणाम वापस भेजने के लिए संपर्क कर सकते हैं। यह प्रक्रिया हमलावर के लिए विश्वसनीय बनी रहती है, जबकि सामान्य नेटवर्क ट्रैफ़िक में घुलमिल जाती है ताकि इसका पता न चल सके। यह ठीक इस प्रकार काम करता है:

• प्रारंभिक सेटअप और पहुंच स्थापित हो गई हैकिसी डिवाइस पर हमलावर के नियंत्रण हासिल करने के बाद (उदाहरण के लिए, इसके माध्यम से) फ़िशिंगकिसी भी प्रकार की सुरक्षा चूक (जैसे किसी डेटा का दुरुपयोग या चोरी किए गए क्रेडेंशियल्स) का पता लगाने के लिए, वे एक छोटा एजेंट (इंप्लांट/बीकन) तैनात करते हैं जो पृष्ठभूमि में चलता रहता है। यह एक ऐसा तंत्र तैयार करता है जिसका उपयोग हमलावर समय के साथ डिवाइस से संवाद करने के लिए करेगा।
• एजेंट को पता चल जाता है कि C2 तक कैसे पहुंचना है।इम्प्लांट को C2 का पता लगाने के लिए एक या अधिक तरीकों से कॉन्फ़िगर किया गया है, जैसे कि हार्डकोडेड डोमेन, एंडपॉइंट्स की एक रोटेटिंग सूची, या नए पते खोजने की विधि। यह सुनिश्चित करता है कि डिवाइस अपने कंट्रोलर को ढूंढना जानता है, भले ही कुछ servers ब्लॉक या हटाया जा सकता है।
• बाहर की ओर एक संचार चैनल खोला जाता हैसंक्रमित डिवाइस आमतौर पर सामान्य प्रोटोकॉल (अक्सर HTTP(S) या DNS) का उपयोग करके C2 से आउटबाउंड कनेक्शन शुरू करता है ताकि यह उससे गुजर सके। फायरवॉल और NAT अधिक आसानी से। लक्ष्य एक ऐसा मार्ग बनाना है जो सामान्य लगे और जिसे सामान्य यातायात से अलग पहचानना मुश्किल हो।
• यह उपकरण चेक-इन करने के लिए "बीकन" का उपयोग करता है।एजेंट समय-समय पर C2 से संपर्क करता है और बुनियादी स्थिति संबंधी जानकारी (सिस्टम विवरण, वर्तमान विशेषाधिकार, नेटवर्क जानकारी और क्या वह आंतरिक संसाधनों तक पहुँच सकता है) भेजता है। इससे ऑपरेटर को स्थिति की जानकारी मिलती है और वे यह तय कर सकते हैं कि आगे कौन सी कार्रवाई करना उचित है।
• C2 कार्यों और मापदंडों को पूरा करता है।चेक-इन के आधार पर, server यह विशिष्ट कमांड चलाने, अतिरिक्त मॉड्यूल लोड करने, स्थानीय नेटवर्क को स्कैन करने या लक्षित फ़ाइलों को एकत्रित करने जैसे निर्देशों के साथ प्रतिक्रिया करता है। यह चरण C2 को एक बार के पेलोड वितरण तंत्र के बजाय एक इंटरैक्टिव नियंत्रण परत में बदल देता है।
• एजेंट कार्यों को निष्पादित करता है और परिणामों को एकत्रित करता है।यह इम्प्लांट स्थानीय रूप से आदेशों को निष्पादित करता है और आउटपुट (आदेश परिणाम, एकत्रित क्रेडेंशियल, खोजे गए होस्ट या चुराया गया डेटा) एकत्र करता है, अक्सर संपीड़ित or एनक्रिप्टिंग इससे हमलावर के इरादे को ठोस परिणामों में परिवर्तित किया जा सकता है, साथ ही गतिविधि को गुप्त और जांच से परे रखने का प्रयास किया जाता है।
• परिणाम वापस भेज दिए जाते हैं और प्रक्रिया जारी रहती है।यह उपकरण C2 को परिणाम वापस भेजता है और फिर या तो अगले निर्धारित चेक-इन की प्रतीक्षा करता है या निर्देशों के आधार पर समय को समायोजित करता है। यह फीडबैक लूप हमलावर को रणनीति बदलने, उपकरण को अपडेट करने या लक्ष्य बदलने के द्वारा अनुकूलन करने की अनुमति देता है, साथ ही C2 चैनल के बाधित होने या इम्प्लांट के हटाए जाने तक निरंतर नियंत्रण बनाए रखता है।

आदेश और नियंत्रण Server उदाहरण

यहां कुछ सामान्य कमांड और कंट्रोल के उदाहरण दिए गए हैं जिनका उल्लेख आपको सुरक्षा रिपोर्टों में अक्सर देखने को मिलेगा। इनमें से कुछ वैध सुरक्षा उपकरण हैं जिनका दुरुपयोग किया जा सकता है, और अन्य वास्तविक दुनिया के मैलवेयर अभियानों से जुड़े C2 इन्फ्रास्ट्रक्चर हैं। इनमें शामिल हैं:

• कोबाल्ट स्ट्राइक (बीकन)। एक व्यावसायिक रेड-टीम प्लेटफॉर्म जिसका "बीकन" एजेंट C2 क्षमताएं प्रदान करता है; चोरी या क्रैक की गई प्रतियों का उपयोग किए जाने पर खतरा पैदा करने वाले तत्वों द्वारा इसका व्यापक रूप से दुरुपयोग किया जाता है।
• मेटास्प्लॉइट (मीटरप्रेटर). एक भेदन परीक्षण एक ऐसा फ्रेमवर्क जिसका मीटरप्रेटर पेलोड इंटरैक्टिव रिमोट कंट्रोल और टास्किंग का समर्थन करता है, जो सी2 के व्यवहार से काफी मिलता-जुलता है।
• ज़ुल्फ़। एक ओपन-सोर्स C2 फ्रेमवर्क जिसका उपयोग रक्षकों द्वारा अधिकृत परीक्षण के लिए किया जाता है, लेकिन हमलावरों द्वारा भी इसका उपयोग किया जाता है क्योंकि यह flexतैनात करने में आसान और सुगम।
• पौराणिक। एक मॉड्यूलर C2 प्लेटफॉर्म जिसमें कई प्रकार के एजेंट होते हैं, जिसका उपयोग अक्सर रेड-टीम प्रयोगशालाओं और अनुसंधान में किया जाता है क्योंकि यह विस्तार योग्य ऑपरेटरों, पेलोड और वर्कफ़्लो का समर्थन करता है।
• Emotet/TrickBot/QakBot (मालवेयर C2 इन्फ्रास्ट्रक्चर)। कुछ जाने-माने मैलवेयर परिवार जिन्होंने संक्रमित होस्टों को प्रबंधित करने, अनुवर्ती पेलोड भेजने और बड़े पैमाने पर अभियानों को समन्वित करने के लिए C2 नेटवर्क का उपयोग किया है (विवरण अभियान और समय अवधि के अनुसार भिन्न होते हैं)।

आदेश और नियंत्रण Server का उपयोग करता है

आदेश और नियंत्रण servers इनका उपयोग निर्देश भेजकर और स्थिति या परिणाम एकत्र करके बड़े पैमाने पर दूरस्थ प्रणालियों को प्रबंधित करने के लिए किया जाता है। अंतर्निहित कमांड-एंड-रिस्पॉन्स मॉडल स्वयं तटस्थ है और इसका उपयोग अधिकृत सिस्टम प्रबंधन और दुर्भावनापूर्ण गतिविधि दोनों के लिए किया जा सकता है। हालाँकि, साइबर सुरक्षा में, कमांड एंड कंट्रोल (C2) शब्द अक्सर हमलावर द्वारा संचालित बुनियादी ढांचे को संदर्भित करता है।

अवैध उपयोग: समझौता होने के बाद हमलावर का नियंत्रण

दुर्भावनापूर्ण उद्देश्यों के संदर्भ में, किसी सिस्टम के हैक हो जाने के बाद, संक्रमित होस्टों में हमलावर की गतिविधियों तक पहुंच बनाए रखने और समन्वय स्थापित करने के लिए C2 इन्फ्रास्ट्रक्चर का उपयोग किया जाता है।

• समझौता के बाद रिमोट कंट्रोलकिसी सिस्टम के संक्रमित होने के बाद, हमलावर C2 का उपयोग करके उस पर पहुंच बनाए रखते हैं और दूर से ही कमांड चलाते हैं, मानो वे पीड़ित मशीन पर टर्मिनल चला रहे हों। इससे उन्हें सिस्टम का विश्लेषण करने, सुरक्षा प्रणालियों के अनुकूल ढलने और एक ही ऑपरेटर इंटरफ़ेस से कई पीड़ितों को नियंत्रित करने की सुविधा मिलती है।
• पेलोड डिलीवरी और अपडेटC2 चैनल अतिरिक्त मैलवेयर घटकों या मौजूदा इम्प्लांट के नए संस्करणों को पहुंचाने के लिए उपयोग किए जाते हैं। इससे चरणबद्ध हमले संभव हो पाते हैं, जहां प्रारंभिक पकड़ हल्की होती है और बाद के मॉड्यूल केवल आवश्यकता पड़ने पर ही प्राप्त किए जाते हैं।
• सर्वेक्षण और पर्यावरण मानचित्रणएक सी2 server यह संक्रमित एंडपॉइंट्स को उपयोगकर्ताओं, विशेषाधिकारों, चल रही प्रक्रियाओं, स्थापित सुरक्षा उपकरणों, नेटवर्क शेयर और पहुंच योग्य आंतरिक होस्टों की सूची बनाने का कार्य सौंप सकता है। परिणाम ऑपरेटर को यह तय करने में मदद करते हैं कि आगे क्या करना है और किन सुरक्षा उपायों को दरकिनार करना होगा।
• क्रेडेंशियल चोरी से निपटने के लिए सहायता और विशेषाधिकार वृद्धि कार्यप्रवाहC2 टास्क में अक्सर क्रेडेंशियल, टोकन, ब्राउज़र डेटा या केर्बेरोस आर्टिफैक्ट्स को इकट्ठा करने वाले टूल या कमांड चलाना शामिल होता है, और फिर उस एक्सेस का उपयोग करके विशेषाधिकारों को बढ़ाना शामिल होता है। केंद्रीय नियंत्रण से यह समन्वय करना आसान हो जाता है कि कौन सी मशीन कौन सा चरण कब चलाएगी।
• पार्श्व गति समन्वयहमलावर C2 का उपयोग करके ऐसे निर्देश भेजते हैं जो उन्हें एक प्रभावित होस्ट से दूसरे प्रभावित होस्ट तक पहुंचने में मदद करते हैं, जैसे कि आंतरिक सेवाओं से जुड़ना, नई मशीनों में इम्प्लांट्स स्थापित करना या रिले स्थापित करना। इस तरह एक संक्रमित एंडपॉइंट एक व्यापक नेटवर्क को प्रभावित कर सकता है।
• डेटा संग्रह और डेटा निकासी प्रबंधनC2 यह निर्देशित कर सकता है कि कौन सा डेटा एकत्र करना है, उसे कैसे पैक करना है और कहाँ भेजना है, अक्सर पारदर्शिता को कम करने के लिए एन्क्रिप्शन और थ्रॉटलिंग का उपयोग करता है। यह कई चरणों में डेटा निकालने की प्रक्रिया को भी समन्वित कर सकता है, जैसे कि डेटा को बाहर भेजने से पहले उसे आंतरिक होस्ट पर स्थानांतरित करना।
• व्यवधान के बाद दृढ़ता और पुनर्प्राप्तिC2 इन्फ्रास्ट्रक्चर का उपयोग इम्प्लांट्स को पुनः स्थापित करके, डोमेन को घुमाकर, संचार विधियों को बदलकर, या किसी समस्या की स्थिति में संपर्क पुनः स्थापित करके दीर्घकालिक पहुंच बनाए रखने के लिए किया जाता है। server अवरुद्ध हो जाता है। इससे बचावकर्ता द्वारा हमलावर के टूलिंग के कुछ हिस्सों को हटा दिए जाने पर भी ऑपरेशन चालू रहता है।

वैध उपयोग: अधिकृत रिमोट प्रबंधन

अधिकृत वातावरणों में, C2-शैली की वास्तुकला का उपयोग बड़ी संख्या में प्रणालियों को केंद्रीय रूप से प्रबंधित करने के लिए किया जाता है, जिसमें प्रत्येक प्रणाली तक प्रत्यक्ष, अंतःक्रियात्मक पहुंच नहीं होती है।

वैध नियंत्रण servers यह कई एंडपॉइंट्स पर कार्यों का समन्वय कर सकता है, जैसे स्क्रिप्ट चलाना, कॉन्फ़िगरेशन बदलना, अपडेट तैनात करना या स्वास्थ्य और स्थिति की जानकारी एकत्र करना। इससे प्रशासकों को फ्लीट का प्रबंधन करने में मदद मिलती है। serversप्रयोगशाला मशीनों या परीक्षण उपकरणों को नियंत्रित और लेखापरीक्षा योग्य तरीके से उपयोग करना।

C2 क्यों हैं? Servers हमलावरों के लिए महत्वपूर्ण?

C2 servers C2 हमलावरों के लिए महत्वपूर्ण है क्योंकि यह एक बार के उल्लंघन को पीड़ितों पर निरंतर, विस्तारित नियंत्रण में बदल देता है। प्रारंभिक घुसपैठ के दौरान प्राप्त पहुंच पर निर्भर रहने के बजाय, हमलावर C2 का उपयोग करके एक ही स्थान से कई संक्रमित प्रणालियों का प्रबंधन कर सकते हैं, स्थितियों में बदलाव के अनुसार नए निर्देश जारी कर सकते हैं और आवश्यकता पड़ने पर ही अतिरिक्त उपकरणों को चुनिंदा रूप से तैनात कर सकते हैं। यह केंद्रीय नियंत्रण उन्हें गुप्त और लचीला बने रहने में भी मदद करता है: वे बुनियादी ढांचे को बदल सकते हैं, संचार पैटर्न में बदलाव कर सकते हैं और यदि ऑपरेशन के कुछ हिस्सों का पता चल जाता है या उन्हें अवरुद्ध कर दिया जाता है तो पहुंच को पुनः प्राप्त कर सकते हैं।

व्यवहार में, C2 ही वह माध्यम है जो हमलावरों को प्रत्येक प्रभावित मशीन पर भौतिक रूप से उपस्थित हुए बिना टोही, पार्श्व गतिविधि, डेटा चोरी और निरंतरता के माध्यम से एक समन्वित अभियान चलाने में सक्षम बनाता है।

आदेश और नियंत्रण क्यों आवश्यक हैं? Servers खतरनाक?

आदेश और नियंत्रण servers ये खतरनाक हैं क्योंकि ये हमलावरों को समझौता किए गए सिस्टमों पर निरंतर, दूरस्थ नियंत्रण बनाए रखने का एक विश्वसनीय तरीका प्रदान करते हैं, जिससे एक ही उल्लंघन एक निरंतर अभियान में बदल जाता है। एक बार जब कोई डिवाइस C2 को सिग्नल भेजना शुरू कर देता है, तो हमलावर वातावरण को फिर से एक्सप्लॉइट किए बिना नए कमांड जारी करके, टूल बदलकर और लक्ष्य बदलकर वास्तविक समय में अनुकूलन कर सकता है।

C2 स्केलेबिलिटी को भी सक्षम बनाता है: एक ऑपरेटर कई संक्रमित एंडपॉइंट्स को मैनेज कर सकता है, कार्यों को स्वचालित कर सकता है और पूरे नेटवर्क में गतिविधियों का समन्वय कर सकता है। यह एन्क्रिप्शन, HTTPS जैसे सामान्य प्रोटोकॉल और लेयर्ड इंफ्रास्ट्रक्चर (रीडायरेक्टर, रोटेटिंग डोमेन) का उपयोग करके गोपनीयता और निरंतरता को सपोर्ट करता है, जिससे दुर्भावनापूर्ण ट्रैफिक को सामान्य व्यावसायिक ट्रैफिक से अलग करना कठिन हो जाता है।

अंततः, C2 अक्सर डेटा की चोरी, क्रेडेंशियल की चोरी जैसे उच्च-प्रभाव वाले परिणामों के लिए रीढ़ की हड्डी होता है। Ransomware तैनाती और पार्श्व गति, क्योंकि यह निर्णय लेने को केंद्रीकृत करता है और हमलावर की पहुंच को तब भी बरकरार रखता है जब बचावकर्ता घटना को नियंत्रित करने का प्रयास करते हैं।

कमांड और कंट्रोल का पता कैसे लगाएं Servers?

आदेश और नियंत्रण का पता लगाना servers पहचान करने पर ध्यान केंद्रित करता है स्वभावजन्य तरीका केवल ज्ञात दुर्भावनापूर्ण आईपी या डोमेन। नीचे दिए गए चरण दर्शाते हैं कि रक्षक आमतौर पर वास्तविक वातावरण में C2 गतिविधि का पता कैसे लगाते हैं:

• सामान्य नेटवर्क व्यवहार का आधार स्थापित करेंआउटबाउंड ट्रैफ़िक, DNS उपयोग, प्रोटोकॉल, गंतव्य और समय के लिए "सामान्य" स्थिति को समझने से ही पहचान की शुरुआत होती है। यह आधारभूत जानकारी छिपे हुए C2 संचार का संकेत देने वाले विचलनों को आसानी से पहचानने में सहायक होती है।
• बाहर जाने वाले कनेक्शनों और बाहर जाने वाले यातायात की निगरानी करेंअधिकांश C2 ट्रैफ़िक नेटवर्क के अंदर से बाहर की ओर शुरू होता है। विश्लेषक असामान्य आउटबाउंड कनेक्शनों की तलाश करते हैं, विशेष रूप से दुर्लभ डोमेन, अप्रत्याशित देशों, नए पंजीकृत डोमेन या उन एंडपॉइंट्स के लिए जिनसे संगठन आमतौर पर संपर्क नहीं करता है।
• प्रकाशमान पैटर्न की तलाश करेंC2 इम्प्लांट नियमित या अर्ध-नियमित अंतराल पर संपर्क स्थापित करते हैं। लगातार समय पर बार-बार संपर्क स्थापित होना, छोटे पेलोड आकार या पूर्वानुमानित अनुरोध पैटर्न मानव-प्रेरित गतिविधि के बजाय स्वचालित बीकनिंग का संकेत दे सकते हैं।
• DNS व्यवहार में विसंगतियों का विश्लेषण करेंअसामान्य DNS गतिविधि, जैसे कि असफल लुकअप की उच्च मात्रा, लंबे या बेतरतीब दिखने वाले डोमेन नाम, या ऐसे डोमेन के लिए बार-बार क्वेरी करना जो कभी वास्तविक सामग्री होस्ट नहीं करते हैं, डोमेन जनरेशन एल्गोरिदम या DNS टनलिंग जैसी तकनीकों का संकेत दे सकते हैं।
• प्रोटोकॉल के उपयोग और एन्क्रिप्टेड ट्रैफ़िक की जांच करेंहमलावर अक्सर C2 कमांड को छिपाने के लिए HTTPS या अन्य एन्क्रिप्टेड चैनलों का उपयोग करते हैं। हालाँकि सामग्री दिखाई नहीं देती है, मेटाडेटा जैसे कि प्रमाणपत्र संबंधी विसंगतियाँ, असामान्य उपयोगकर्ता एजेंट, अजीब अनुरोध पथ या प्रोटोकॉल का दुरुपयोग, अभी भी दुर्भावनापूर्ण नियंत्रण ट्रैफ़िक को उजागर कर सकते हैं।
• एंडपॉइंट और नेटवर्क टेलीमेट्री को सहसंबंधित करेंनेटवर्क सिग्नल तब अधिक सार्थक हो जाते हैं जब उन्हें एंडपॉइंट डेटा के साथ जोड़ा जाता है, जैसे कि अप्रत्याशित प्रक्रियाएं जो नेटवर्क कनेक्शन बना रही हैं, निरंतरता तंत्र का निर्माण हो रहा है, या कमांड निष्पादन के बाद आउटबाउंड ट्रैफ़िक। सहसंबंध से यह पुष्टि करने में मदद मिलती है कि संदिग्ध ट्रैफ़िक दुर्भावनापूर्ण गतिविधि से जुड़ा है।
• खतरे की जानकारी और व्यवहार विश्लेषण के साथ इसकी पुष्टि करें।अंत में, संदिग्ध C2 संकेतकों की तुलना खतरे की खुफिया जानकारी से की जाती है और उनका संदर्भ में मूल्यांकन किया जाता है। भले ही किसी IP या डोमेन को अभी तक दुर्भावनापूर्ण न माना गया हो, फिर भी लगातार C2 जैसे व्यवहार के आधार पर ट्रैफ़िक को ब्लॉक करना, होस्ट को अलग करना और गहन फोरेंसिक जांच जैसे रोकथाम संबंधी कदम उठाए जा सकते हैं।

आदेश और नियंत्रण को कैसे रोकें Servers?

आदेश एवं नियंत्रण को रोकना (C2) servers इसका उद्देश्य प्रभावित प्रणालियों की बाहरी संचार क्षमता को कम करना और प्रारंभिक उल्लंघन होने पर भी हमलावरों की गतिविधियों को सीमित करना है। प्रभावी रोकथाम में नेटवर्क नियंत्रण, एंडपॉइंट हार्डनिंग और अनुशासित परिचालन पद्धतियों का संयोजन शामिल है।

C2 को रोकने का तरीका यहाँ दिया गया है:

• बाहर जाने वाले यातायात को मजबूत निकास नियंत्रणों से प्रतिबंधित करें।बाह्य रूप से संपर्क करने के लिए सिस्टम को किन प्रोटोकॉल, गंतव्यों और पोर्ट की अनुमति है, इसे सीमित करें। जब केवल अनुमोदित सेवाओं और गंतव्यों की अनुमति होती है, तो C2 चैनलों द्वारा उपयोग किए जाने वाले अप्रत्याशित आउटबाउंड कनेक्शनों के अवरुद्ध या चिह्नित होने की संभावना अधिक होती है।
• लागू करना कम से कम विशेषाधिकार और मजबूत पहचान नियंत्रणउपयोगकर्ता और सेवा विशेषाधिकारों को सीमित करने से किसी भी प्रकार के खतरे में पड़े खाते या प्रक्रिया द्वारा किए जा सकने वाले नुकसान की मात्रा सीमित हो जाती है। मजबूत प्रमाणीकरण, क्रेडेंशियल स्वच्छता और भूमिका पृथक्करण हमलावरों के लिए टिकाऊ C2-नियंत्रित पहुंच स्थापित करना कठिन बना देते हैं।
• एंडपॉइंट्स को सुरक्षित करें और सिस्टम को पैच करते रहेंनियमित पैचिंग ऑपरेटिंग सिस्टम, अनुप्रयोग, और फर्मवेयर यह हमलावरों द्वारा C2 इम्प्लांट तैनात करने के लिए उपयोग किए जाने वाले प्रारंभिक ठिकानों को कम करता है। एंडपॉइंट सुरक्षा और शोषण निवारण उपकरण दुर्भावनापूर्ण एजेंटों को चलने या बने रहने से भी रोक सकते हैं।
• DNS और वेब फ़िल्टरिंग का उपयोग करेंज्ञात दुर्भावनापूर्ण डोमेन, नए पंजीकृत डोमेन और संदिग्ध डोमेन पैटर्न तक पहुंच को अवरुद्ध करने से डोमेन रोटेशन और डीजीए जैसी सामान्य सी2 तकनीकों को बाधित करने में मदद मिलती है। डीएनएस-स्तर के नियंत्रण विशेष रूप से प्रभावी होते हैं क्योंकि कई सी2 चैनल नाम रिज़ॉल्यूशन पर निर्भर करते हैं।
• एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) को तैनात करेंEDR उपकरण संदिग्ध प्रक्रिया व्यवहार, अप्रत्याशित कमांड निष्पादन और एंडपॉइंट से असामान्य आउटबाउंड कनेक्शन का पता लगा सकते हैं। इससे C2 गतिविधि को रोकने में मदद मिलती है, भले ही ट्रैफ़िक एन्क्रिप्टेड हो और पारंपरिक सामग्री निरीक्षण अप्रभावी हो।
• नेटवर्कों को खंडित करें और पार्श्व गति को सीमित करें. नेटवर्क विभाजन यह किसी एक असुरक्षित होस्ट को संवेदनशील सिस्टम तक आसानी से पहुँचने से रोकता है। यदि C2-नियंत्रित एंडपॉइंट मौजूद भी है, तो भी विभाजन हमलावर की पूरे वातावरण में नियंत्रण फैलाने की क्षमता को कम कर देता है।
• विसंगतियों की लगातार निगरानी करें और उन पर प्रतिक्रिया दें।रोकथाम को त्वरित पहचान और प्रतिक्रिया द्वारा मजबूत किया जाता है। बीकनिंग व्यवहार, असामान्य DNS उपयोग, या अप्रत्याशित आउटबाउंड ट्रैफ़िक की निगरानी करना और प्रभावित सिस्टमों को अलग करने के लिए तुरंत कार्रवाई करना, हमलावरों द्वारा स्थायी नियंत्रण प्राप्त करने से पहले C2 फीडबैक लूप को तोड़ सकता है।

C2 और C2 में क्या अंतर है? Server और मैलवेयर?

आइए C और C के बीच के अंतरों की जांच करें। servers और मैलवेयर: