Command and Control serveurs (C&C) sont des éléments essentiels de nombreuses cyberattaques. Ils sont utilisés par les cyber criminels pour contrôler à distance les appareils infectés et lancer des attaques coordonnées.
Dans cet article, nous allons aborder l’importance de bloquer les serveurs C&C et les risques qu’ils représentent pour les individus et les organisations.
La configuration C&C implique un serveur central et un ou plusieurs appareils clients (téléphone mobile, ordinateur, ampoule intelligente, routeur, etc.)
L’appareil contrôlé, ou l’esclave, possède un “light program” conçu pour recevoir des commandes/instructions du serveur C&C et les exécuter ensuite sur l’appareil local. Cette configuration peut être utilisée pour de nombreuses tâches d’automatisation.
Cependant, lorsque cette même configuration C&C est utilisée par des acteurs malveillants, elle peut causer beaucoup de dommages et de pertes à la partie attaquée.
Tout commence avec l’acteur malveillant ou cyber criminel qui installe un serveur et crée un programme client.
Une fois installé sur un système, le client est conçu pour revenir vers le serveur et attendre de nouvelles commandes de ce dernier.
Certains clients sont également conçus pour se propager à d’autres appareils du réseau attaqué, créant ainsi un réseau d’appareils infectés de type “botnet”.
Parmi les moyens que le cyber criminel peut utiliser pour diffuser un code malveillant, citons les messages de phishing par SMS (smishing) ou par courrier électronique, les logiciels malveillants, les chevaux de Troie (Trojan), les failles de sécurité dans les navigateurs ou les pare-feu, etc.
Une fois la communication client-serveur établie, le serveur C&C peut alors envoyer des commandes au client, qui les exécute ensuite.
Une fois la communication client-serveur établie, le serveur C&C peut envoyer des commandes au client, qui les exécute.
Parmi les activités qu’un serveur C&C tentera d’accomplir par l’intermédiaire du client, nous pouvons citer, le vol d’informations ou de données, le cryptage des données (ransomware), la perturbation et/ou l’arrêt du dispositif ou du réseau attaqué, voire le lancement d’une attaque par déni de service distribué (DDoS) sur un autre réseau.
Une méthode courante utilisée par les cyber criminels pour infecter des appareils avec des logiciels malveillants et établir une connexion avec un serveur C&C est le phishing.
Dans ce cas, un cyber criminel envoie un courriel ou un message contenant un lien ou une pièce jointe malveillante qui, lorsqu’on clique dessus, installe un logiciel malveillant sur l’appareil.
Ce logiciel malveillant établit ensuite une connexion avec le serveur C&C du cyber criminel, ce qui lui permet de contrôler à distance l’appareil infecté.
Il est important que les particuliers et les organisations soient conscients de ces types d’escroqueries et qu’ils soient prudents lorsqu’ils cliquent sur des liens ou téléchargent des fichiers provenant de sources inconnues.
De plus, les organisations devraient mettre en place une formation de sensibilisation à la sécurité pour leurs employés afin de les informer des dangers du phishing et d’autres cybermenaces.
L’une des attaques les plus importantes et les plus perturbatrices lancées et causées par des C&C a été l’attaque du botnet Mirai en 2016.
Le malware Mirai s’est propagé à un très grand nombre de dispositifs IoT.
Il a pu s’installer sur des appareils qui possédaient le nom d’utilisateur et le mot de passe par défaut, puis il a attendu que le serveur C&C fournisse d’autres instructions, formant ainsi une armée de botnet.
Le C&C de Mirai a ensuite envoyé des commandes au botnet pour qu’il envoie des millions de requêtes DNS pour des sites populaires de commerce électronique et d’autres sites, rendant ainsi impossible pour le site web attaqué de répondre au véritable trafic des clients.
Cette attaque DDoS a fait tomber le fournisseur de services d’enregistrement de domaines Dyn et des sites populaires comme Netflix et Twitter en octobre 2016.
Pour éviter d’être victime d’une attaque de serveur C&C, il existe plusieurs mesures que les individus et les organisations peuvent prendre.
Tout d’abord, il est important de mettre à jour tous les logiciels et appareils afin de s’assurer que toutes les vulnérabilités connues sont corrigées.
Ensuite, les utilisateurs doivent être vigilants lorsqu’il s’agit de cliquer sur des liens ou de télécharger et d’ouvrir des fichiers reçus de sources inconnues.
Il est également judicieux de s’abonner à la protection de la cybersécurité en réseau proposée par votre fournisseur d’accès à Internet.
De plus, pour se protéger contre les cyberattaques, les organisations devraient investir dans des solutions de cybersécurité, telles que des pare-feu et des systèmes de détection des intrusions, des formations de sensibilisation à la sécurité et des évaluations régulières de la sécurité.
En conclusion, les serveurs C&C sont une composante essentielle de nombreuses cyberattaques et représentent un risque important pour les particuliers et les organisations.
En comprenant les risques et en prenant des mesures pour se protéger, les particuliers et les organisations peuvent réduire la probabilité d’être victimes d’une cyberattaque dirigée par un serveur C&C.
Pour mieux comprendre l’importance des offres de protection de la cybersécurité en réseau proposées par les opérateurs de réseaux mobiles et autres fournisseurs de services de communication (FSC), Allot s’est associé à Coleman Parkes research pour réaliser une étude indépendante. 7700 utilisateurs de smartphones de 7 pays ont été interrogés et les résultats sont édifiants.
Source : Allot