Bienvenidos a un nuevo post en Byte Mind. En el caso de hoy vamos a explicar qué es y cómo funciona un Command and Control y sin más dilación, vamos con ello.
¿Qué es un Command and Control?
Un Command and Control, también conocido por las siglas C&C o C2, es un tipo de infraestructura utilizado para controlar un cliente desde un servidor central.
Desde este servidor es posible comunicarse con los distintos clientes para actuar sobre los mismos, ya sea de forma manual o mediante el uso de scripts o funcionalidades que permitan la automatización de tareas.
Estos servidores de C2 pueden utilizarse para crear poderosas redes de dispositivos infectados capaces de llevar a cabo ataques distribuidos de denegación de servicio (DDOS), robo de datos, cifrado, etc.
Botnet
Una Botnet es una red maliciosa bajo el control de un servidor de C2 y los nodos que pertenecen a la misma son llamados zombis.
En una botnet tradicional, los cada bot está infectado con un troyano y se comunica con el servidor central por medio de IRC (Internet Relay Chat), entre otros protocolos.
Topologías de una botnet
Una botnet tendrá una estructura en función de la topología de red definida:
– Topología en estrella -> los bots estan organizados alrededor de un servidor central
– Topología jerárquica o de árbol -> existen varios servidores centrales organizados en grupos por niveles
– Topología aleatoria -> los servidores se comunican de igual a igual de la misma forma que se estructuran las redes P2P
– Topología de varios C&C -> donde encontramos varios servidores centrales para la redundancia.
Arquitecturas de una botnet
Existen dos tipos de arquitecturas de botnets, centralizadas o descentralizadas.
Botnet centralizada
En este tipo de arquitectura el modelo cliente-servidor es la base que constituye este tipo de redes maliciosas. Generalmente la comunicación entre los miembtros de la botnet se realizar mediante el veterano IRC (Internet Relay Chat). Mediante este tipo de mensajería los bots se comunican entre sí a través de este tipo de mensajería, el cual es muy útil en este tipo de ataques debido a que se constituyen de una forma muy sencilla y no requieren de un ancho de banda elevado por lo que permite crear y expandir la red de forma muy rápida. Podemos destacar que los ataques DDOS más devastadores han sido posibles gracias a este tipo de comunicación.
Botnet descentralizada
La principal característica de este tipo de arquitectura es que no existe un servidor o dispositivo responsable como tal de la red. Todos los miembros hacen posible su funcionamiento, por lo que es más difícil la posibilidad de destruir completamente la botnet. Estas redes son mucho menos frágiles que las centralizadas, debido a que no hay un “Bot master” que controle el resto de bots de la red por lo que acabar con ellas puede ser, en ocasiones, una tarea muy tediosa.
Cómo funciona un ataque de Command and Control
Los ataques de tipo C2 pueden constituirse por los siguiente elementos:
– Bot Master -> sería el servidor central, el cual puede ser un servidor infectado o controlado por el atacante.
– Servidores de Command-and-Control -> son también dispositivos infectados por un troyano, serían como los hijos del bot maestro y también tienen la capacidad de poder infectar a otros dispositivos.
– Bots -> son los dispositivos infectados o reclutados por los servidores C2 que posteriormente se convierten en bots que pueden pertenecer a la misma red o pueden ser convertidos en C2 para crear otras redes.
Como hemos visto, este tipo de ataques tienen la capacidad de poder crear botnets gigantescas para poder ejecutar con facilidad un ataque a gran escala.
Estas botnets tan grandes son las armas ideales para ataques DDOS, envío masivo de spam o correos maliciosos con el fin de poder infectar a más dispositivos de tal forma que la red pueda crecer todavía más.
Hasta aquí todo por ahora, espero que os ayude a entender un poco mejor como funcionan este tipo de ataques y gracias por leernos.
