コマンドアンドコントロールサイバー攻撃: それらを特定して防ぐには?

のコマンドアンドコントロール攻撃の一種ですサイバー攻撃ハッカーが個人の PC を制御し、それを使用して同じネットワークに接続されている他のコンピュータにマルウェアを注入し、ボットの軍隊を作成します。コマンドアンドコントロールサイバー攻撃は、以下のように略されます。C2またはC&C。高度なレベルで C&C 攻撃を実行するために、ハッカーは通常、組織内のコンピュータが相互に接続されているネットワーク全体を制御して、ネットワーク上のすべてのコンピュータが感染してボットの軍隊を作成できるようにしようとします。この記事では、コマンドアンドコントロールサイバー攻撃そしてどうすればできるのかそれらを特定して防止する。

指揮統制サイバー攻撃

C2 または C&C 攻撃には、ハッカーが感染を拡大する指示を与えるために侵害されたデバイスと通信するために使用する一連のツールとテクニックが含まれています。コマンドアンドコントロールサイバー攻撃では、被害者の PC または組織とハッカーが制御するプラットフォームとの間に 1 つまたは複数の通信チャネルが存在する可能性があります。攻撃者はこれらの通信チャネルを使用して、侵害されたデバイスに命令を転送します。 DNS は、C2 攻撃に広く使用されている通信チャネルです。

コマンドアンドコントロールサイバー攻撃について詳しく説明する前に、C&C 攻撃に関連して知っておくべき用語がいくつかあります。

ゾンビ

ゾンビとは、攻撃者によって何らかの形式のウイルスまたはマルウェアに感染したコンピューターまたはデバイスです。攻撃者は、正常なコンピュータをゾンビに変えると、所有者の知識や同意なしにリモートで制御できるようになります。 C2 インフラストラクチャでは、ハッカーが特定のコンピューターに感染するために使用するマルウェアまたはウイルスは、ハッカーが感染したコンピューターに指示を送信するための経路を開きます。これは双方向の経路であり、攻撃者が感染したコンピュータに命令を送信したり、感染したコンピュータからコンテンツをダウンロードしたりできることを意味します。

C2 または C&C インフラストラクチャ内の感染したデバイスは、特定のネットワーク上の他の正常なコンピュータに感染するために攻撃者によって使用されるため、ゾンビと呼ばれます。感染すると、これらのコンピューターは、ハリウッド映画やホラー映画に登場するゾンビと同じように動作します。

ボットネット

ボットネットは、感染したコンピューターの軍隊です。 C2 インフラストラクチャでは、1 台のコンピュータが感染すると、ネットワークに接続されている別のコンピュータに感染が移ります。同じプロセスを繰り返して、同じネットワーク上の他のコンピューターに感染し、ボットの軍隊を作成します。このボット (感染したコンピューター) の軍隊はボットネットと呼ばれます。ハッカーはボットネットをさまざまなサイバー攻撃に使用できます。DDoS攻撃。これに加えて、ハッカーは他のサイバー犯罪者にボットネットを販売することもできます。

ビーコニング

ビーコニングは、感染したコンピュータ内のマルウェアがハッカーから指示を受け取り、感染したデバイスからハッカーにデータを送信するために C&C サーバーと通信するプロセスです。

コマンドアンドコントロールサイバー攻撃はどのように機能するのでしょうか?

攻撃者の目的は、ターゲットシステムに侵入することです。ホストシステムにウイルスやマルウェアをインストールすることでこれを行うことができます。ホストのシステムをウイルスまたはマルウェアに感染させると、ホストはそれを完全に制御できるようになります。ハッカーがユーザーのコンピュータにマルウェアを注入する方法は数多くあります。よく使われる方法の 1 つは、フィッシングメールの送信です。フィッシングメールには悪意のあるリンクが含まれています。この悪意のあるリンクは、ユーザーを悪意のある Web サイトに誘導したり、特定のソフトウェアをインストールするように指示したりする可能性があります。

このソフトウェアには、ハッカーによって書かれた悪意のあるコードが含まれています。このソフトウェアをインストールすると、マルウェアが彼のコンピュータに侵入します。その後、このマルウェアは、ユーザーの同意なしに、感染したコンピューターから攻撃者へのデータの送信を開始します。このデータには、クレジットカード情報やパスワードなどの機密情報が含まれる場合があります。

コマンドアンドコントロールインフラストラクチャでは、ホストのシステム内のマルウェアがホストサーバーにコマンドを送信します。この目的で選択された送信ルートは一般に信頼されており、綿密に監視されていません。このルートの例の 1 つは DNS です。マルウェアがホストサーバーへのコマンドの送信に成功すると、ホストのコンピューターはゾンビに変化し、攻撃者の制御下に入ります。次に、攻撃者は感染したコンピュータを使用して他のコンピュータに感染を広め、ボットまたはボットネットの軍隊を作成します。

ユーザーのデータを盗む以外にも、ハッカーは次のようなさまざまな目的でボットネットを使用できます。

人気のある Web サイトを DDoS 攻撃で攻撃します。
ユーザーまたは組織のデータを破棄する。
マシンをハイジャックして組織のタスクを中断する。
マルウェアまたはウイルスをネットワーク経由で他の正常なマシンに配布する。

コマンド＆コントロールサーバー

コマンドアンドコントロールサーバーは、ボットネットの一部であるマシンに命令やコマンドを送信し、ボットネットからの出力を受信できる集中型マシンです。ボットネットコマンドアンドコントロールサーバーではさまざまなトポロジが使用されます。これらのトポロジのいくつかを以下で説明します。

スター型トポロジ: スタートポロジでは、中央の C&C サーバーが 1 つあります。このサーバーは、ボットネット内のボットに指示またはコマンドを送信します。このトポロジでは、すべてのコマンドをボットに送信し、ボットからの出力を受信する C&C サーバーが 1 つだけあるため、ボットネットを無効にするのは比較的簡単です。
マルチサーバートポロジ: このトポロジは、上で説明したスタートポロジに似ています。ただし、このトポロジの中央サーバーは、相互接続された一連のサーバーで構成されます。マルチサーバートポロジは、単一のサーバーに障害が発生しても C&C サーバー全体がシャットダウンしないため、スタートポロジよりも安定していると考えられます。マルチサーバー C&C サーバートポロジの構築は、異なるサーバーをセットアップする必要があり、適切な計画が必要なため、スタートポロジよりも複雑です。
ランダムトポロジ: ランダムトポロジでは、ボットネットネットワーク経由で他のボットに指示やコマンドを送信するために、いくつかの特殊なボットが使用されます。これらの特殊なボットは、所有者または許可されたユーザーによって操作されます。このようなタイプのボットネットは待ち時間が非常に長く、解体するのが困難です。ランダムトポロジでは、ボット間の通信を暗号化して、より複雑な C&C サーバートポロジにすることができます。

読む:オンラインバンキングやその他のサイバー詐欺を回避する

コマンドアンドコントロールサイバー攻撃を特定する方法

ログファイルを利用してコマンドアンドコントロールサイバー攻撃を特定できます。

DNSログファイル: 前述したように、DNS は指揮統制サイバー攻撃で最も一般的に使用される通信チャネルです。したがって、DNS ログファイルからは、C&C 攻撃に関する重要な情報が得られます。すでに述べたように、ほとんどの C&C 攻撃は DNS サーバーを通じて行われます。ただし、C&C 攻撃が DNS サーバー経由で行われていない場合、DNS ログファイルには攻撃に関する情報が含まれません。
プロキシログファイル: ほとんどの組織はフィルタリングプロキシを使用しています。セキュリティ上の理由から、ユーザーのトラフィックはこのプロキシを経由する必要があります。 Web プロキシのログファイルは、指揮統制サイバー攻撃に関する重要な情報源となる可能性があります。
ファイアウォールのログ: ファイアウォールのログは、C&C 攻撃調査の優れた情報源にもなります。

さまざまなログファイルから情報を収集した後、ログファイル内の次の情報を検索して、C&C 攻撃が発生したかどうかを確認できます。

HTTPリクエストの繰り返しパターン、
特に通常の営業時間外の HTTP サーバーへの接続、
特に営業時間外のSNSへのリクエストにつきましては、
低い TTL での DNS 応答、
URL 短縮ドメインに対する繰り返しのリクエスト、
アウトバウンド IRC または P2P トラフィックなど。

読む:Windows ユーザー向けのインターネットセキュリティに関する記事とヒント。

コマンドアンドコントロールサイバー攻撃を防ぐ方法

ここで、指揮統制サイバー攻撃を防ぐいくつかの方法について説明しましょう。

組織または管理者向けのセキュリティに関するヒント

まず、組織またはシステム管理者が指揮統制サイバー攻撃を防ぐ方法を確認します。

従業員の意識向上

組織が最初に行うべきことは、すべての従業員に意識向上トレーニングを提供し、指揮統制攻撃とは何なのか、どのように実行されるのかを理解できるようにすることです。これにより、システムが攻撃者によってハッキングされる可能性が最小限に抑えられます。従業員に適切なトレーニングを提供することで、C&C 攻撃のリスクを軽減できます。

ネットワークに注目してください

ほとんどの場合、指揮統制サイバー攻撃はネットワーク経由で行われます。したがって、ネットワーク上のトラフィックの流れを監視する必要があります。ネットワークを監視しているときは、ネットワーク上で行われている次のような不審なアクティビティに注意する必要があります。

異常なネットワークの場所にアクセスすると、
ユーザーが営業時間外にログインした場合、
ファイルが変な場所に保存されているなど。

すべての従業員のアカウントに 2 要素認証を設定する

2 要素認証により、追加のセキュリティ層が追加されます。したがって、これはユーザーアカウントを保護する優れた方法です。しかし、攻撃者は 2 要素認証をバイパスすることもできます, しかし、それは思っているほど簡単ではありません。

ユーザー権限を制限する

ユーザー権限を制限することは、指揮統制サイバー攻撃からシステムを保護するための良いステップとなる可能性があります。従業員に業務を遂行するために必要な権限のみを割り当て、それ以上の権限を割り当てないでください。

ユーザー向けのセキュリティに関するヒント

ユーザーが指揮統制サイバー攻撃を防ぐためのセキュリティに関するヒントをいくつか見てみましょう。

信頼できないリンクをクリックしないでください

この記事の前半で、攻撃者がさまざまな方法でホストのコンピュータに侵入できることを説明しました。これらの手口の 1 つは、悪意のあるリンクを含むフィッシングメールです。これらのリンクをクリックすると、悪意のある Web サイトにリダイレクトされるか、マルウェアが自動的にダウンロードされ、システムにインストールされます。したがって、安全を期すために、信頼できない電子メールからのリンクは決してクリックしないでください。

信頼できないメールの添付ファイルを開かないでください

送信者が誰であるかわからない場合は、電子メールの添付ファイルを開かないでください。 Gmail などの一部の電子メールクライアントには、電子メールの添付ファイルのスキャン機能があります。ただし、この機能は特定の電子メールの添付ファイルでは機能しない場合があります。このような場合、差出人が分からないメールは開かない方が良いでしょう。

仕事が終わるたびにログアウトする

あらゆる種類のサイバー攻撃を防ぐには、コンピューターでの作業を終了した後、すべてのアカウントからログアウトすることをお勧めします。また、ブラウザを次のように設定することもできますファイアーフォックス、クロム、角など、終了時に Cookie を自動的にクリアします。

ファイアウォールまたは適切なウイルス対策ソフトウェアをインストールする

システムには常に優れたウイルス対策ソフトウェアをインストールしてください。一部のウイルス対策製品は、電子メールスキャン機能も提供します。予算に余裕がある場合は、電子メールスキャン、データ侵害アラートなどのさまざまな機能を備えた完全なセキュリティスイートを購入するのが最善です。ランサムウェア適切なファイアウォールをインストールすることもできます。