سرور Command & Control چیست؟ آشنایی با سرور C&C و کاربرد آن

0 283

فهرست

سرور Command & Control چیست؟

یکی از محبوب‌ترین روش‌ها بین هکرها برای کنترل بدافزارها، استفاده از سرور Command & Control می‌باشد. به این سرورها به اختصار “سرور C&C” یا “سرور ۲C” گفته می‌شود. اسم این نوع از سرورها به وضوح نشان می‌دهد که هکر چه استفاده‌ای از آن‌ها می‌کند. هکرها برای کنترل کردن بدافزارهای خود از آن‌ها استفاده می‌کنند. یعنی هکرها از سرور C&C برای توزیع مخفیانه بدافزار در دستگاه قربانیان، دستور دادن به بدافزار و کنترل دستگاه قربانیان استفاده می‌کنند.

سرور C&C چه کاری انجام می‌دهد؟

سرور C&C دقیقا مانند یک فرمانده ارتش در یک جنگ می‌باشد. سربازان ارتش همواره منتظرند از فرمانده خود فرمان جدید بگیرند و آن را انجام دهند. همچنین فرمانده اگر بخواهد کاری را در میدان جنگ انجام دهد، تنها با فرستادن دستور به سربازان، خواسته خود را مهیا می‌کند.

در حملات سایبری نیز سرور C&C دستوراتی را به سمت دستگاه‌های تحت کنترل هکر ارسال می‌کند و آن دستگاه‌ها دستور داده شده را اجرایی می‌کنند. به دستگاه‌های تحت کنترل مهاجم زامبی یا بات گفته می‌شود که در مقاله بات نت چیست؟ بطور کامل آن‌ها را بررسی کردیم. اما اگر بخواهیم بطور خلاصه بگوییم: بات نت در دنیای سایبری به مجموعه‌ای از دستگاه‌ها گفته می‌شود که دسترسی غیرمجاز به آن‌ها گرفته شده و برای انجام کلاهبرداری‌ها و حملات سایبری مختلف مورد استفاده قرار می‌گیرد. به هر کدام از دستگاه‌های درون بات نت، یک زامبی (Zombie) یا بات گفته می‌شود.

پس وظیفه اصلی سرور C&C دستور دادن و کنترل کردن زامبی‌ها می‌باشد.

نمونه هایی از کاربردهای سرور C&C

برای مثال هنگامی که بدافزار خود را بر روی یک دستگاه اجرا کرد، در صورتی که بدافزار قابلیت تکثیر داشته باشد، سرور C&C می‌تواند به آن دستور انتشار بدهد. یا مثلا هنگامی که شبکه آلوده شد، مهاجم می‌تواند آن را از کار بندازد و یا اطلاعات دستگاه‌های آلوده را بوسیله یک Ransomwares رمزگذاری کند. پس سرور C&C وظیفه کنترل و دستور دادن به زامبی‌ها را به عهده دارد. یا برای مثال در حملات DDoS که مهاجم قرار است از چندین زامبی بطور همزمان ترافیک زیادی را به سمت سرور هدف ارسال کند، به کمک سرور C&C می‌تواند براحتی حمله را شروع کند بجای اینکه تک تک به سراغ زامبی ها برود و کارهای مربوط به حمله را برای همه آن‌ها انجام دهد!!

سرور C&C چگونه کار می‌کند؟

سرورهای C&C متناسب با شرایط و امکانات بدافزار، می‌توانند امکانات و روش کار متنوعی داشته باشند. اما می‌توانیم کلیت کار آن‌ها را به دو دسته تقسیم کنیم:

آلوده کردن یک یا چند سیستم درون شبکه هدف

همانطور که گفتیم، حملاتی که به کمک C&C انجام می‌شوند عموما با یک آلودگی اولیه شروع می‌شوند. یعنی ابتدا یک سیستم درون یک شبکه آلوده می‌شود و سپس درون شبکه گسترش پیدا می‌کند. توجه کنید که لزوما سرور C&C شروع کننده آلودگی نیست بلکه برای شروع آلودگی، هکرها روش‌های مختلفی را انتخاب می‌کنند. برای مثال:

  • ارسال ایمیل‌های فیشینگ برای پرسنل یک سازمان و قراردادن لینک‌ها و پیوست‌های مخرب درون آن
  • اکسپلویت کردن یک آسیب‌پذیری موجود برروی یکی از سیستم‌های درون شبکه
  • دانلود یک آپدیت آلوده یک نرم افزار مطمئن
  • و …

توجه داشته باشید که پس از آلوده شدن اولین سیستم و زامبی شدن آن، هکر می‌تواند اجازه پخش شدن در شبکه را، از طریق C&C به بدافزار اعلام کند. اما چرا نباید بدافزار بصورت اتوماتیک پخش شود و باید منتظر دستور از سمت C&C بماند؟؟ دلایل بسیار زیادی می‌تواند داشته باشد. مثلا فرض کنید هکر با توجه به اطلاعاتی که بدست آورده، می‌داند که در تایم بخصوصی افراد پشت سیستم‌های خود نیستند پس احتمالا در این تایم اقدام به انتشار و اجرای بدافزار می‌کند تا کارمندان متوجه کند شدن سیستم خود یا موارد مشکوک این چنینی نشوند.

ارسال دستورات به زامبی ها

هنگامی که تنها یک دستگاه آلوده شد، سیگنالی را به سرور C&C ارسال می‌کند تا به او بفهماند که با موفقیت برروی سیستم بارگذاری شده است. پس از آن مهاجم می‌تواند کنترل دستگاه آلوده را به بدست بگیرد. در نتیجه کامپیوتر تحت کنترل مهاجم به یک زامبی تبدیل می‌شود. حالا با توجه به خواص بدافزار، هکر می‌تواند دستورات مختلفی را به بدافزار بدهد.

برای مثال فرض کنید درون بدافزار یک Spyware قرار داده شده است که می‌تواند نام کاربری و رمز عبورهای ذخیره شده برروی سیستم‌ها را برباید. هکر می‌تواند با ارسال دستوری، از بدافزارها بخواهد که عملیات استخراج پسوردها را انجام دهند. بعد از اینکه پسوردها استخراج شد، نوبت به ارسال آن‌ها به سرور تحت کنترل هکر می‌رسد. هکر می‌تواند دستور بدهد که از طریق چه پروتکلی این داده‌ها برای او ارسال شوند. و در نهایت هکر می‌تواند دستور دهد که بدافزار با چه مکانیزمی به حیات خود در سیستم قربانی ادامه دهد و یا اگر نیازی به آن نیست، خودش و اثراتش را از سیستم قربانی پاک کند. البته توجه داشته باشید که همیشه هکر بصورت دستی دستورات را ارسال نمی‌کند. ممکن است هکر یک نوشته برروی لینکی قرار دهد و از بدافزارها بخواهد که دستورات را از روی آن نوشته انجام دهند.

ساختار سرور C&C

هکر از طریق سرور C&C به botnet خود دستورات را ارسال می‌کند. کنترل زامبی ها می‌تواند به دو صورت مستقیم و غیرمستقیم انجام شود:

  • مدل متمرکز (Centralizer) یا مستقیم
  • مدل غیرمتمرکز (Decentralized) یا غیرمستقیم

مدل های متمرکز (Centralized) توسط یک یا چند سرور تحت کنترل هکر مدیریت می‌شوند. در اصل دلیل اینکه به این مدل، مدل متمرکز گفته می‌شود این است که از ساختار کلاینت-سرور پیروی می‌کنند. یعنی در این معماری زامبی ها همانند کلاینت‌های سرور C&C هستند.

مدل های غیر متمرکز (Decentralized) وظیفه دستور دادن را بین تمامی زامبی ها پخش می‌کنند. یعنی در این ساختار، مهاجم حتی نیاز ندارد که سرور جداگانه‌ای برای صدور دستورات بکار بگیرد. کافیست به یکی از زامبی ها دستوری را بدهد. سپس این دستور توسط زامبی‌ها به یکدیگر انتقال داده می‌شود تا در نهایت همه آن‌ها از دستور با خبر شوند. این مدل که از ساختار Peer-to-Peer یا P2P پیروی می‌کند، می‌تواند به مخفی ماندن هویت هکر نیز کمک کند.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ