Ziel erfolgreicher Cyberangriffe ist es nicht nur, sich Zugang zu einem unachtsamen Unternehmen zu verschaffen. Für wirkliche Effizienz muss der Angreifer in der Zielumgebung Persistenz etablieren, mit infizierten oder kompromittierten Geräten kommunizieren und potenziell sensible Daten exfiltrieren. Der Schlüssel zu all diesen Aufgaben ist eine robuste Command-and-Control-Infrastruktur, auch als „C2“ bekannt. In diesem Beitrag werden ich erläutern, was C2 ist, wie Angreifer diese verdeckten Kommunikationskanäle nutzen und wie man solche Angriffe erkennen und abwehren kann.
„Unternehmen versäumen es oft, Hacks rechtzeitig zu erkennen, weil weniger als 20 % der Datendiebstähle intern entdeckt werden. – Gartner“
Was ist C2?
Die Command-and-Control-Infrastruktur, kurz C2 oder C&C, umfasst eine Reihe von Tools und Techniken, mit denen Angreifer nach einem erfolgreichen Angriff die Kommunikation mit kompromittierten Geräten aufrechterhalten. Die Mechanismen variieren je nach Angriff, aber im Allgemeinen besteht C2 aus einem oder mehreren verdeckten Kommunikationskanälen zwischen Geräten in der Zielorganisation und einer vom Angreifer kontrollierten Plattform. Diese Kanäle ermöglichen es, Anweisungen an die kompromittierten Geräte zu senden, zusätzliche Schadsoftware herunterzuladen und gestohlene Daten zurückzuleiten.
C2 kann viele Formen annehmen. Das MITRE ATT&CK Framework listet derzeit 16 verschiedene Command-and-Control-Techniken auf, jede mit verschiedenen Untertechniken, die bei vergangenen Cyberangriffen beobachtet wurden. Eine übliche Strategie ist es, sich unauffällig in den legitimen Datenverkehr der Zielorganisation einzuschleichen, wie z.B. HTTP/HTTPS oder DNS. Angreifer nutzen auch Verschlüsselung oder ungewöhnliche Datenkodierung, um ihre C&C-Rückrufe zu verschleiern.
C2-Plattformen
Command-and-Control-Plattformen können maßgeschneiderte Lösungen oder Standardprodukte sein. Beliebte Plattformen, die von Kriminellen und Penetrationstestern verwendet werden, sind Cobalt Strike, Covenant, Powershell Empire und Armitage.
Wichtige Begriffe
Was ist ein Zombie?
Ein Zombie ist ein mit Malware infiziertes Gerät, das ohne Wissen oder Zustimmung des Besitzers ferngesteuert werden kann. Viele Malware-Arten dienen primär dazu, einen Kanal zur C2-Infrastruktur des Angreifers zu öffnen. Diese Zombie-Rechner können für Aufgaben wie das Versenden von Spam-E-Mails oder die Teilnahme an DDoS-Angriffen genutzt werden.
Was ist ein Botnet?
Ein Botnet ist eine Ansammlung von Zombie-Rechnern, die für illegale Zwecke genutzt werden, wie Kryptowährungs-Mining oder DDoS-Angriffe. Botnets nutzen eine gemeinsame C2-Infrastruktur. Hacker verkaufen oft den Zugang zu Botnets an andere Kriminelle.
Was ist Beaconing?
Beaconing ist der Prozess, bei dem ein infiziertes Gerät die Verbindung zur C2-Infrastruktur eines Angreifers herstellt, um nach Anweisungen oder zusätzlichen Nutzlasten zu suchen. Dies geschieht oft in regelmäßigen Intervallen. Um nicht entdeckt zu werden, variieren manche Malware-Typen die Intervalle oder bleiben eine Zeit lang inaktiv.
Anwendungsmöglichkeiten von C2-Infrastrukturen
Laterale Bewegung
Ein Angreifer bewegt sich nach dem initialen Zugang lateral durch das Unternehmen, indem er die C2-Kanäle nutzt, um Informationen über andere anfällige Hosts zu sammeln. Der erste kompromittierte Rechner dient als Sprungbrett für den Zugriff auf sensiblere Teile des Netzwerks.
Mehrphasige Angriffe
Komplexe Cyberangriffe bestehen oft aus vielen Schritten. Eine anfängliche Infektion kann eine Rückverbindung zur C2-Infrastruktur herstellen und zusätzliche Schadsoftware herunterladen. Dies ermöglicht modulare Angriffe, die sowohl weit verbreitet als auch hochspezialisiert sein können.
Exfiltration von Daten
C2-Kanäle sind bidirektional und ermöglichen es Angreifern, Daten aus der Zielumgebung herunterzuladen. Gestohlene Daten können von geheimen Dokumenten bis zu Kreditkartennummern reichen. Ransomware-Banden nutzen Datenexfiltration als zusätzliche Erpressungstaktik.
Weitere Anwendungsfälle
Botnets werden häufig für DDoS-Angriffe verwendet, wobei die Anweisungen über C2 übermittelt werden. Auch ungewöhnlichere Zwecke wie Wahlmanipulation oder Energiemarktmanipulation wurden bereits beobachtet.
Command-and-Control-Modelle
Zentralisiert
Ein zentralisiertes C2-Modell funktioniert ähnlich wie eine Client-Server-Beziehung. Ein Malware-Client verbindet sich mit einem C2-Server, um Anweisungen zu erhalten. Die Infrastruktur eines Angreifers kann jedoch komplexer sein und Redirectoren, Load Balancer und Abwehrmaßnahmen umfassen.
Peer-to-Peer (P2P)
In einem P2P-Modell sind C2-Anweisungen dezentralisiert, und die Mitglieder eines Botnets leiten Nachrichten untereinander weiter. Dadurch ist die Infrastruktur schwerer zu zerschlagen, aber auch schwieriger zu steuern.
Unkonventionelle Methoden
Hacker nutzen auch unkonventionelle Methoden, um Anweisungen zu übermitteln, wie Social-Media-Plattformen oder zufällige Scans großer Internetbereiche.
Erkennung und Prävention von C2-Datenverkehr
Überwachung und Filterung des ausgehenden Datenverkehrs
Sorgfältig ausgearbeitete ausgehende Firewall-Regeln können verhindern, dass Angreifer verdeckte Kommunikationskanäle öffnen. Proxies und DNS-Filterdienste helfen ebenfalls bei der Erkennung von C2-Rückrufen.
Ausschau halten nach Beacons
Beacons sind ein Hinweis auf C2-Aktivitäten, aber oft schwer zu erkennen. Tools wie RITA oder manuelle Analysen mit Wireshark können helfen.
Protokollierung und Überprüfung
Eine eingehende Analyse von Protokolldateien aus verschiedenen Quellen hilft, zwischen C2-Datenverkehr und legitimen Anwendungen zu unterscheiden.
Datenkorrelation
Die Jagd nach C&C-Aktivitäten erhöht die Wahrscheinlichkeit, dass gut getarnte Angriffe entdeckt werden.
Fazit
Command-and-Control-Infrastrukturen sind für Angreifer entscheidend und bieten gleichzeitig eine Chance für Sicherheitsexperten. Das Blockieren des C&C-Datenverkehrs kann Cyberangriffe stoppen. Ein umfassendes Sicherheitsprogramm, das gute Cyberhygiene, Mitarbeiterschulungen und durchdachte Richtlinien umfasst, hilft, die Risiken zu minimieren.
Ursprungsquelle: https://www.varonis.com/de/blog/was-ist-c2
Flo Laumer 