los Ataque de comando y control es un tipo de ataque cibernético en el que un hacker controla la PC de un individuo y la usa para inyectar malware en otras computadoras conectadas a la misma red para crear un ejército de bots. El Ciberataque de Comando y Control se abrevia brevemente como C2 o C&C. Para realizar un ataque de C&C en un nivel avanzado, los piratas informáticos generalmente intentan controlar toda la red a través de la cual las computadoras de una organización están conectadas entre sí para que todas las computadoras de una red puedan infectarse y crear un ejército de bots. En este artículo hablaremos de Ataques cibernéticos de comando y control y como puedes identificarlos y prevenirlos.

Ciberataque de mando y control

Ciberataque de mando y control

Un ataque C2 o C&C incluye el conjunto de herramientas y técnicas que los piratas informáticos utilizan para comunicarse con los dispositivos comprometidos con el fin de dar las instrucciones para propagar la infección. En un Ciberataque de Comando y Control, puede existir uno o más de un canal de comunicación entre la PC de una víctima o una organización y la plataforma que controla un hacker. El atacante utiliza estos canales de comunicación para transferir instrucciones a los dispositivos comprometidos. DNS es un canal de comunicación ampliamente utilizado para un ataque C2.

Antes de hablar más sobre el ataque cibernético de comando y control, hay algunos términos relacionados con el ataque de C&C que debe conocer.

Zombi

Un zombi es una computadora o un dispositivo que ha sido infectado por el atacante con algún tipo de virus o malware. Después de transformar una computadora saludable en un zombi, el atacante puede controlarla de forma remota sin el conocimiento o consentimiento de su propietario. En una infraestructura C2, el malware o los virus que utiliza un pirata informático para infectar una computadora en particular abre un camino para que el pirata informático envíe instrucciones a la computadora infectada. Esta es una vía bidireccional, lo que significa que el atacante puede enviar instrucciones a la computadora infectada y también descargar el contenido de la computadora infectada.

Los dispositivos infectados en una infraestructura C2 o C&C se denominan zombis porque el atacante utiliza estos dispositivos para infectar otras computadoras en buen estado en una red en particular. Después de ser infectados, estos equipos funcionan de la misma manera que los zombis que se muestran en las películas de ficción o de terror de Hollywood.

red de bots

Una botnet es un ejército de computadoras infectadas. En una infraestructura C2, cuando una computadora está infectada, la infección se transfiere a otra computadora conectada a la red. El mismo proceso se repite para infectar otras computadoras en la misma red para crear un ejército de bots. Este ejército de bots (ordenadores infectados) se conoce como botnet. Un hacker puede usar una botnet para diferentes ataques cibernéticos, como un ataque DDoS. Además de esto, un hacker también puede vender botnets a otros ciberdelincuentes.

Balizamiento

La señalización es el proceso a través del cual el malware en la computadora infectada se comunica con el servidor C&C para recibir instrucciones del pirata informático y enviar datos desde el dispositivo infectado al pirata informático.

¿Cómo funciona un ciberataque de comando y control?

El objetivo del atacante es entrar en el sistema de destino. Puede hacer esto instalando un virus o malware en el sistema host. Después de infectar el sistema del host con un virus o malware, puede tener control total sobre él. Hay muchas formas en que un pirata informático puede inyectar malware en la computadora de un usuario. Uno de los métodos populares es enviar un correo electrónico de phishing. Un correo electrónico de phishing contiene un enlace malicioso. Este enlace malicioso puede llevar al usuario al sitio web malicioso o indicarle que instale un software en particular.

El software contiene código malicioso escrito por el hacker. Al instalar este software, el malware ingresa a su computadora. Este malware luego comienza a enviar datos desde la computadora infectada al atacante sin el consentimiento del usuario. Estos datos pueden contener información confidencial como información de tarjetas de crédito, contraseñas, etc.

En una infraestructura de comando y control, el malware en el sistema del host envía un comando al servidor host. Las rutas de transmisión seleccionadas para este propósito generalmente son confiables y no se controlan de cerca. Un ejemplo de esta ruta es el DNS. Una vez que el malware logra enviar el comando al servidor host, la computadora del host se transforma en un zombi y queda bajo el control del atacante. Luego, el atacante usa la computadora infectada para transmitir la infección a otras computadoras, de modo que se crea un ejército de bots o botnet.

Además de robar los datos del usuario, un hacker puede usar una botnet para varios propósitos, como:

  • Golpear los sitios web populares con ataques DDoS.
  • Destruir los datos del usuario o de la organización.
  • Interrumpir las tareas de las organizaciones mediante el secuestro de sus máquinas.
  • Distribuir el malware o los virus a otras máquinas sanas a través de una red.

Servidores de mando y control

Los servidores de Comando y Control son las máquinas centralizadas que son capaces de enviar instrucciones o comandos a las máquinas que forman parte de una botnet y recibir la salida de la misma. Hay varias topologías utilizadas en los servidores de comando y control de Botnet. Algunas de estas topologías se explican a continuación:

  • Topología de las estrellas: En la topología en estrella, hay un servidor C&C central. Este servidor envía instrucciones o comandos a los bots en una botnet. En esta topología, es comparativamente más fácil deshabilitar la botnet porque solo hay un servidor C&C que envía todos los comandos a los bots y recibe la salida de los mismos.
  • Topología multiservidor: Esta topología es similar a la topología en estrella que hemos descrito anteriormente. Pero el servidor central en esta topología consta de una serie de servidores interconectados. La topología de varios servidores se considera más estable que la topología de estrella porque la falla de un solo servidor no provoca el cierre de todo el servidor de C&C. La creación de una topología de servidor C&C multiservidor es más compleja que la topología en estrella, ya que requiere la configuración de diferentes servidores, lo que requiere una planificación adecuada.
  • Topología aleatoria: en una topología aleatoria, se utilizan algunos bots especializados para enviar instrucciones o comandos a otros bots a través de una red de botnet. Estos bots especializados son operados por el propietario o un usuario autorizado. Estos tipos de botnets tienen una latencia muy alta y son difíciles de desmantelar. En una topología aleatoria, la comunicación de bot a bot se puede cifrar, lo que la convierte en una topología de servidor C&C más compleja.

Leer: Evite la banca en línea y otros fraudes cibernéticos

Cómo identificar el Ciberataque de Comando y Control

Puede identificar el Ciberataque de Comando y Control con la ayuda de archivos de registro.

  1. Archivos de registro de DNS: Como se describió anteriormente, el DNS es el canal de comunicación más utilizado en los ataques cibernéticos de comando y control. Por lo tanto, los archivos de registro de DNS pueden brindarle información crucial sobre los ataques de C&C. Como hemos dicho, la mayoría de los ataques de C&C se realizan a través de los servidores DNS. Pero si el ataque de C&C no se realiza a través del servidor DNS, los archivos de registro de DNS no le darán ninguna información sobre el ataque.
  2. Archivos de registro de proxy: La mayoría de las organizaciones utilizan proxy de filtrado. El tráfico del usuario tiene que pasar por este proxy por razones de seguridad. Los archivos de registro del proxy web pueden ser una fuente crucial de información sobre el Ciberataque de Comando y Control.
  3. Registros de cortafuegos: Los registros del cortafuegos también pueden ser una buena fuente para una investigación de ataques de C&C.

Después de recopilar la información de varios archivos de registro, puede buscar la siguiente información en los archivos de registro para confirmar si se ha producido un ataque de C&C.

  • El patrón repetitivo de solicitudes HTTP,
  • Conexiones a los servidores HTTP, especialmente fuera del horario habitual de oficina,
  • Solicitud a los sitios de redes sociales, especialmente fuera del horario habitual de oficina,
  • Respuestas DNS con un TTL bajo,
  • Solicitudes repetidas de dominios para acortar URL,
  • Tráfico IRC o P2P saliente, etc.

Leer: artículo y consejos sobre seguridad en Internet para usuarios de Windows.

Cómo prevenir los Ciberataques de Comando y Control

Ahora, hablemos de algunas formas en las que puede prevenir los ataques cibernéticos de comando y control.

Consejos de seguridad para organizaciones o administradores

Primero, vea las formas en que las organizaciones o los administradores de sistemas pueden prevenir los ataques cibernéticos de comando y control.

Concienciación entre los empleados

Lo primero que deben hacer las organizaciones es brindar capacitación de concientización a todos los empleados para que puedan saber qué es un ataque de Comando y Control y cómo se puede hacer. Esto minimizará la posibilidad de que un atacante piratee un sistema. Al proporcionar la capacitación adecuada a sus empleados, puede reducir el riesgo de un ataque de C&C.

Mantener vigilado Tu red

En la mayoría de los casos, los Ciberataques de Comando y Control se realizan a través de una red. Por lo tanto, es necesario monitorear el flujo de tráfico en su red. Mientras monitorea su red, debe estar atento a las actividades sospechosas que se realizan en su red, como:

  • Acceder a ubicaciones de red inusuales,
  • Inicios de sesión de usuario fuera del horario de oficina,
  • Los archivos se almacenan en ubicaciones extrañas, etc.

Configure la autenticación de dos factores en todas las cuentas de sus empleados

La autenticación de dos factores agrega una capa de seguridad adicional. Por lo tanto, es una excelente manera de proteger sus cuentas de usuario. Sin embargo, los atacantes también pueden pasar por alto la autenticación de dos factores, pero no es tan fácil como parece.

Limitar permisos de usuario

Limitar los permisos de los usuarios puede ser un buen paso para proteger sus sistemas de los ataques cibernéticos de comando y control. Asigne a sus empleados solo los permisos requeridos por ellos para hacer su trabajo y no más que eso.

Consejos de seguridad para los usuarios

Veamos algunos consejos de seguridad para que los usuarios prevengan los Ciberataques de Comando y Control.

No haga clic en los enlaces que no son de confianza

Hemos descrito anteriormente en este artículo que los atacantes pueden ingresar a la computadora del host de muchas maneras. Una de estas formas son los correos electrónicos de phishing que contienen enlaces maliciosos. Una vez que haga clic en estos enlaces, será redirigido a un sitio web malicioso, o el malware se descargará e instalará en su sistema automáticamente. Por lo tanto, para estar más seguro, nunca haga clic en los enlaces que provienen de correos electrónicos que no son de confianza.

No abra los archivos adjuntos de correos electrónicos que no sean de confianza

No abra los archivos adjuntos de correo electrónico a menos que sepa quién es el remitente. Algunos clientes de correo electrónico, como Gmail, tienen una función de escaneo de archivos adjuntos de correo electrónico. Pero a veces esta función no funciona en algunos archivos adjuntos de correo electrónico en particular. En tal caso, si no conoce el remitente del correo electrónico, será mejor que no abra dichos correos electrónicos.

Cierra la sesión cada vez que termines tu trabajo

Cerrar sesión en todas las cuentas después de terminar de trabajar en una computadora es una buena práctica para prevenir todo tipo de ciberataques. Además, puede configurar su navegador, como Firefox, Chrome, Edge, etc., para borrar las cookies automáticamente al salir.

Instala un firewall o un buen antivirus

Instale siempre un buen antivirus en su sistema. Algunos antivirus también ofrecen una función de análisis de correo electrónico. Será mejor si tiene un presupuesto para comprar un paquete de seguridad completo que ofrezca varias funciones como escaneo de correo electrónico, alerta de violación de datos, protección contra ransomware, protección de cámara web, etc. También puede instalar un buen firewall.

Crear contraseñas seguras

Siempre se recomienda crear contraseñas seguras. Las contraseñas son sensibles a las mayúsculas. Por lo tanto, cree una contraseña con una combinación de caracteres especiales, letras minúsculas y mayúsculas y números. También puede usar generadores de contraseñas gratuitos para generar contraseñas seguras y únicas.

Mantén tu sistema actualizado

Se recomienda mantener un sistema actualizado porque con cada actualización, el desarrollador lanza los últimos parches de seguridad. Estos parches de seguridad ayudan a proteger su sistema de las ciberamenazas.

Leer: Robo de identidad en línea: prevención y protección.

¿Cuáles son algunos indicadores de un ciberataque?

Los siguientes son algunos síntomas que su sistema mostrará si está comprometido.

  • No podrá acceder a los archivos o aplicaciones habituales.
  • Algunas de las configuraciones de su sistema están bloqueadas.
  • Su cuenta ha sido bloqueada o su contraseña ha sido cambiada sin su conocimiento.
  • Verá ventanas emergentes no deseadas en su navegador web con mayor frecuencia.
  • Experimentará velocidades de Internet más lentas sin congestión en su red de Internet.
  • Los programas instalados en su sistema se iniciarán y cerrarán automáticamente.

Leer: Cómo mantenerse seguro en las computadoras públicas.

¿Cómo se pueden prevenir las amenazas cibernéticas?

Para prevenir las amenazas cibernéticas, puede hacer algunas cosas necesarias, como cerrar sesión en todas sus cuentas cada vez que termine su trabajo, borrar las cookies de su navegador web al salir, instalar un buen antivirus y firewall, crear contraseñas seguras, etc.

Eso es todo.

Leer siguiente: ¿Qué es el secuestro de sesión y cómo prevenirlo?

Ciberataque de mando y control

Por Jason