Agence web » Actualités du digital » Qu’est-ce qu’un «serveur de commande et de contrôle» pour les logiciels malveillants?

Qu’est-ce qu’un «serveur de commande et de contrôle» pour les logiciels malveillants?

Un réseau de petits robots bleus représentant un botnet.
BeeBright / Shutterstock.com

Qu’il s’agisse de violations de données sur Facebook ou d’attaques mondiales de ransomwares, la cybercriminalité est un gros problème. Les malwares et les ransomwares sont de plus en plus utilisés par de mauvais acteurs pour exploiter les machines des gens à leur insu pour diverses raisons.

Qu’est-ce que le commandement et le contrôle?

Une méthode populaire utilisée par les attaquants pour distribuer et contrôler les logiciels malveillants est le «commandement et contrôle», également appelé C2 ou C&C. C’est à ce moment que des acteurs malveillants utilisent un serveur central pour diffuser secrètement des logiciels malveillants sur les machines des utilisateurs, exécuter des commandes vers le programme malveillant et prendre le contrôle d’un appareil.

C&C est une méthode d’attaque particulièrement insidieuse car un seul ordinateur infecté peut détruire un réseau entier. Une fois que le malware s’exécute sur une machine, le serveur C&C peut lui ordonner de se dupliquer et de se propager, ce qui peut se produire facilement, car il a déjà dépassé le pare-feu du réseau.

Une fois le réseau infecté, un attaquant peut l’arrêter ou chiffrer les appareils infectés pour verrouiller les utilisateurs. Les attaques de ransomwares WannaCry en 2017 ont fait exactement cela en infectant les ordinateurs d’institutions critiques telles que les hôpitaux, en les verrouillant et en exigeant une rançon en bitcoin.

Comment fonctionne C&C?

Les attaques C&C commencent avec l’infection initiale, qui peut se produire via des canaux tels que:

  • e-mails de phishing contenant des liens vers des sites Web malveillants ou contenant des pièces jointes chargées de logiciels malveillants.
  • vulnérabilités dans certains plugins de navigateur.
  • télécharger un logiciel infecté qui semble légitime.

Les logiciels malveillants se faufilent au-delà du pare-feu comme quelque chose qui semble inoffensif, comme une mise à jour logicielle apparemment légitime, un e-mail au son urgent vous informant qu’il y a une faille de sécurité ou une pièce jointe inoffensive.

Une fois qu’un périphérique a été infecté, il renvoie un signal au serveur hôte. L’attaquant peut alors prendre le contrôle du périphérique infecté de la même manière que le personnel du support technique pourrait prendre le contrôle de votre ordinateur tout en résolvant un problème. L’ordinateur devient un «bot» ou un «zombie» sous le contrôle de l’attaquant.

La machine infectée recrute ensuite d’autres machines (soit dans le même réseau, soit avec lesquelles elle peut communiquer) en les infectant. Finalement, ces machines forment un réseau ou «botnet» contrôlé par l’attaquant.

Ce type d’attaque peut être particulièrement dangereux dans le cadre d’une entreprise. Les systèmes d’infrastructure tels que les bases de données des hôpitaux ou les communications d’intervention d’urgence peuvent être compromis. Si une base de données est violée, de grands volumes de données sensibles peuvent être volés. Certaines de ces attaques sont conçues pour s’exécuter en arrière-plan à perpétuité, comme dans le cas d’ordinateurs détournés pour exploiter la crypto-monnaie à l’insu de l’utilisateur.

Structures C&C

Aujourd’hui, le serveur principal est souvent hébergé dans le cloud, mais il s’agissait auparavant d’un serveur physique sous le contrôle direct de l’attaquant. Les attaquants peuvent structurer leurs serveurs C&C selon quelques structures ou topologies différentes:

  • Topologie en étoile: les bots sont organisés autour d’un serveur central.
  • Topologie multi-serveurs: plusieurs serveurs C&C sont utilisés pour la redondance.
  • Topologie hiérarchique: plusieurs serveurs C&C sont organisés en une hiérarchie de groupes à plusieurs niveaux.
  • Topologie aléatoire: les ordinateurs infectés communiquent en tant que botnet peer-to-peer (botnet P2P).

Les attaquants ont utilisé le protocole IRC (Internet Relay Chat) pour les cyberattaques précédentes, il est donc largement reconnu et protégé contre aujourd’hui. C&C est un moyen pour les attaquants de contourner les protections visant les cybermenaces basées sur IRC.

Depuis 2017, les pirates utilisent des applications comme Telegram comme centres de commande et de contrôle des logiciels malveillants. Un programme appelé ToxicEye, capable de voler des données et d’enregistrer des personnes à leur insu via leur ordinateur, a été trouvé dans 130 cas cette année seulement.

Ce que les attaquants peuvent faire une fois qu’ils ont le contrôle

Une fois qu’un attaquant a le contrôle d’un réseau ou même d’une seule machine au sein de ce réseau, il peut:

  • voler des données en transférant ou en copiant des documents et des informations sur leur serveur.
  • forcer une ou plusieurs machines à s’arrêter ou à redémarrer constamment, ce qui perturbe les opérations.
  • mener des attaques par déni de service distribué (DDoS).

Comment se protéger

Comme pour la plupart des cyberattaques, la protection contre les attaques C&C se résume à une combinaison de bons logiciels d’hygiène numérique et de protection. Tu devrais:

La plupart des cyberattaques exigent que l’utilisateur fasse quelque chose pour activer un programme malveillant, comme cliquer sur un lien ou ouvrir une pièce jointe. En abordant toute correspondance numérique avec cette possibilité à l’esprit, vous serez plus en sécurité en ligne.

★★★★★