Contenido relacionado

¿Qué es un ataque de comando y control (C2/C&C)?

El comando y control (C2 o C&C) es una táctica de ataque en la que los adversarios mantienen el control sobre sistemas o redes comprometidos. Con esta táctica de ataque, los actores de la amenaza utilizan un servidor C2 para comunicarse con los dispositivos o sistemas comprometidos, a los que se suele denominar bots o zombis. Los atacantes utilizan estos canales de comunicación para instalar malware adicional, formar botnets o exfiltrar información sensible.

Características clave del ataque C2

  • Control remoto: Con el canal C2 establecido, los atacantes ejecutan comandos en un sistema comprometido.
  • Persistencia: Los ataques C2 a menudo implican la instalación de malware persistente que permite a los actores de la amenaza mantener el control sobre el sistema o la red comprometidos
  • Botnets: Los ataques C2 suelen aprovechar grandes botnets (redes de dispositivos comprometidos) que se pueden utilizar para lanzar ataques distribuidos.
  • Modo sigiloso: Los atacantes suelen utilizar diferentes técnicas para ocultar su infraestructura C2 y evitar ser detectados.

Cómo se produce el ataque de comando y control

Según el marco MITRE ATT&CK®, las tácticas de ataque C2 tienen como prioridad el sigilo, mezclándose con el tráfico normal de la red para evitar ser detectadas. Detalla 18 técnicas y sub técnicas utilizadas por los atacantes para crear canales C2 encubiertos, que se adaptan al entorno de red y a las defensas del objetivo.

Este ataque incluye cinco etapas: Compromiso inicial, instalación de malware, comunicación C2, ejecución de comandos y persistencia.

Stages of C2 attack
Figura 1: Etapas del ataque C2

Etapa 1

Compromiso inicial

En esta fase del ataque, los adversarios obtienen el acceso inicial a un sistema a través de varios métodos, incluyendo:

Phishing

Enviar correos electrónicos engañosos diseñados para engañar a los usuarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos.

Aprovechar las vulnerabilidades

Aprovechar las vulnerabilidades conocidas del software o de los sistemas operativos.

Ingeniería social

Manipular a los usuarios para que revelen información sensible o concedan accesos no autorizados.

Asociación con el marco MITRE ATT&CK

Las técnicas y sub técnicas que se utilizan en esta etapa del ataque C&C incluyen:

  • T1132 Codificación de datos (2): Se utiliza para ofuscar o cifrar la comunicación con el fin de evitar ser detectado.
  • T1001 Ofuscación de datos (3): Similar a T1132, pero se utiliza para ocultar o disfrazar datos.
  • T1586 Resolución dinámica: Se utiliza para crear nombres de dominio o direcciones IP impredecibles para evitar ser detectado.
  • T1090 Proxy (4): Se utiliza para enmascarar la dirección IP del atacante y ocultar su ubicación.

Etapa 2

Infección por malware

Una vez que el sistema se ve comprometido mediante cualquiera de las técnicas anteriores, los atacantes instalan un software malicioso que establece la conexión con el servidor C2.

Asociación con el marco MITRE ATT&CK

Las técnicas y sub técnicas que se utilizan en esta etapa del ataque C2 incluyen:

  • T1105 Transferencia de herramienta de infiltración Se utiliza para transferir herramientas maliciosas al sistema comprometido.
  • T1092 Comunicación a través de medios extraíbles: Se utiliza para transferir datos o malware a través de soportes físicos.
  • T1659 Inyección de contenido: Se utiliza para inyectar código malicioso en contenidos legítimos.
  • T1104 Canales multi etapa: Se utiliza para establecer múltiples capas de comunicación para evitar ser detectado.

Etapa 3

Comunicación de C2

En esta etapa, el bot se comunica con el servidor C2 utilizando diversas técnicas, entre ellas:

Conexiones directas

El bot se conecta directamente al servidor C2 utilizando la dirección IP o el nombre de dominio conocidos.

Algoritmos de generación de dominios (DGA)

El bot genera nombres de dominio únicos para evitar ser detectado.

Comunicación cifrada

Los atacantes suelen utilizar canales cifrados para ofuscar la comunicación C2.

Asociación con el marco MITRE ATT&CK

Las técnicas y sub técnicas que se utilizan en esta etapa del ataque C2 incluyen:

  • T1104 Canales multi etapa: Se utiliza para establecer múltiples capas de comunicación para evitar ser detectado.
  • T1250 Señalización del tráfico (2): Se utiliza para coordinar la comunicación entre el atacante y el sistema comprometido.

Etapa 4

Ejecución del comando

El atacante envía órdenes a los bots utilizando el canal C2 establecido en la etapa anterior. A continuación, da instrucciones a los bots para que realicen acciones maliciosas como propagar malware adicional, exfiltrar datos y lanzar ataques DDoS.

Asociación con el marco MITRE ATT&CK

Las técnicas y sub técnicas que se utilizan en esta etapa del ataque C2 incluyen:

  • T1090 Proxy (4) - Se puede utilizar para obtener acceso no autorizado a cuentas privilegiadas.
  • T1219 Software de acceso remoto: Se puede utilizar para obtener acceso remoto a sistemas privilegiados.
  • T1071 Protocolo de capa de aplicación (4) - Se utiliza para transferir datos a través de protocolos de red.
  • T1573 Canal cifrado: Se utiliza para proteger los datos en tránsito contra la interceptación.

Etapa 5

Persistencia

En esta fase, los atacantes suelen utilizar técnicas para asegurarse de que el bot pase desapercibido y pueda seguir recibiendo comunicaciones del servidor C2, incluso después de reiniciar el sistema e implementar actualizaciones de seguridad. También mezclan su comunicación con tráfico legítimo como HTTP/HTTPS o DNS para evitar ser detectados.

Asociación con el marco MITRE ATT&CK

Las técnicas y sub técnicas que se utilizan en esta etapa del ataque C2 incluyen:

  • T1008 Canales de respaldo (2): Se utiliza para mantener la comunicación, aunque se interrumpa el canal C2 primario.
  • T1665 Ocultar la infraestructura: Se utiliza para ocultar el servidor C2 o la infraestructura para evitar que sean detectados.
  • T1095 Sin protocolo de capa de aplicación: Se utiliza para evitar la detección usando protocolos que no suelen asociarse con el tráfico legítimo de la red.
  • T1571 Protocolo no estándar: Se utiliza para evitar la detección usando protocolos personalizados o patentados.
  • T1572 Tunelización de protocolo: Se utiliza para ocultar la comunicación C2 dentro de otros protocolos.

Ataque C2C: Dispositivos objetivo

Los ataques C2 se pueden adaptar a víctimas específicas o ser indiscriminados, según los objetivos del atacante. A menudo se da prioridad a los dispositivos con vulnerabilidades conocidas, los datos valiosos o la capacidad para lanzar nuevos ataques. Esto incluye portátiles, desktops, servidores, teléfonos móviles, dispositivos IoT y sistemas de control industrial.

¿Quiere proteger sus sistemas y su red frente a los ataques C2?

Hable con nuestros expertos

El impacto de los ataques C2

Los ataques C2 suponen una grave amenaza para las organizaciones de todos los tamaños, desde pequeños inconvenientes hasta importantes pérdidas financieras y daños a la reputación. A menudo se producen en una fase tardía del ciclo de vida del ciberataque, por lo que detectar y detener los ataques C2 es crucial para evitar daños importantes.

Las consecuencias potenciales de los ataques C2 incluyen:

  • Pérdida y robo de datos: Robo de datos sensibles como información de tarjetas de crédito, PII, PHI o propiedad intelectual y violaciones de la seguridad de los datos que provocan pérdidas financieras, multas reglamentarias y daños a la reputación.
  • Interrupción del servicio: Los ataques C2 se pueden utilizar para lanzar ataques DDoS y comprometer sistemas críticos, provocando la interrupción del servicio e interrupciones operativas.
  • Campañas de spam: Utilizar los bots o zombis comprometidos para enviar spam o campañas de phishing, dando lugar a múltiples ataques a la vez.
  • Cryptojacking: Los ataques C2 también utilizan el sistema comprometido para minar criptomonedas.

Detectar los ataques C2

Detectar los ataques C2 requiere un enfoque polifacético que combine el monitoreo de la red, la seguridad de los endpoints, la inteligencia de amenazas y el análisis del comportamiento. Por lo tanto, la SIEM es un activo valioso en la lucha contra los ataques C2, ya que proporciona una plataforma centralizada para recopilar, analizar y responder a las amenazas. Las herramientas de SIEM integran varias soluciones y tecnologías, actuando como una solución integral para detectar y mitigar los ataques C2. Analicemos algunas estrategias críticas para detectar este ataque C2.

Monitoreo de red:

  • Monitoree los patrones de tráfico de red inusuales, como conexiones salientes excesivas, protocolos inusuales o tráfico cifrado.
  • Consultas de DNS: Monitoree las consultas de DNS inusuales, especialmente de dominios que no estén asociados con servicios legítimos.
  • Escaneo de puertos: Monitoree la actividad de escaneo de puertos no autorizados, que puede ser una señal de reconocimiento o comunicación C2.
  • Análisis del flujo de la red: Utilice herramientas de análisis de flujo de red para identificar patrones sospechosos en el tráfico de red.

Hable con nuestros expertos para saber cómo la SIEM de ManageEngine, Log360, puede ingerir datos de red de la suite de operaciones de TI para proporcionar una visibilidad completa de la seguridad

Hable con nuestros expertos

Indicador de detección del ataque:

  • Detección de anomalías: Utilice las soluciones de seguridad para endpoints para detectar comportamientos anómalos en los endpoints, como la actividad de procesos, los patrones de acceso a archivos o las conexiones de red que son inusuales.
  • Detección de malware: Escanee regularmente los endpoints en busca de malware y otro software malicioso.
  • Detección basada en el comportamiento: Monitoree el comportamiento de los usuarios en busca de anomalías que puedan indicar un ataque C2, como horarios inusuales de inicio de sesión, acceso a datos confidenciales o actividad inusual en la red. Analice el comportamiento de entidades como dispositivos, aplicaciones y cuentas para identificar actividades sospechosas.

Inteligencia de amenazas:

  • Indicadores de compromiso (IoC): Utilice la inteligencia de amenazas procedente de fuentes fiables para identificar los IoC asociados a ataques C2 conocidos. Vea cómo funciona el sistema de inteligencia de amenazas de ManageEngine Log360 para detectar estos IoC.
  • Supervisión del actor de amenaza: Monitoree las actividades de los actores de amenazas conocidos para identificar posibles ataques C2 dirigidos a su organización.
Threat actor tracking

Consejos adicionales::

  • Honey pots: Implemente honeypots para atraer a los atacantes y obtener información detallada sobre sus tácticas y técnicas.
  • Entorno de pruebas: Aísle los archivos o códigos sospechosos en un entorno de pruebas para analizar su comportamiento sin arriesgarse a dañar el entorno de producción.
  • Monitoreo de la web oscura: Monitoree la web oscura en busca de menciones a su organización o a sus datos, lo que podría indicar un ataque C2.

Plan de respuesta al ataque de comando y control

Implementar un plan de respuesta a los ataques C2 bien desarrollado, como el que se ilustra aquí, debería ayudar a las operaciones de seguridad a minimizar los daños causados por el ataque y reducir el tiempo de recuperación.

Componentes clave del plan de respuesta a un ataque C2:

Cuando sospeche o reciba una alerta de ataque C2 en su red, utilice una solución de SIEM para llevar a cabo una investigación exhaustiva con el fin de analizar el impacto, evaluar la tasa de infección y seguir estos pasos basándose en las entradas de la solución:

Key components of C2 attack response plan
Figura 2: Componentes clave del plan de respuesta a un ataque C2

1. Contención:

  • Aislar el sistema infectado: Obtenga la lista de los sistemas infectados a partir de la investigación y desconéctelos de la red para evitar una mayor propagación del ataque.
  • Deshabilitar las cuentas comprometidas: Deshabilite las cuentas comprometidas para limitar el acceso del atacante.
  • Bloquear el tráfico malicioso: Utilice firewalls u otras medidas de seguridad para bloquear el tráfico malicioso.

2. Resolución:

  • Eliminar el malware: Elimine cualquier software malicioso de los sistemas comprometidos.
  • Parchear las vulnerabilidades: Aplique parches de seguridad para solucionar las vulnerabilidades que puedan haber sido explotadas.
  • Restaurar los sistemas: Restaure los sistemas a partir de las copias de seguridad, si es necesario.
  • Reforzar las medidas de seguridad: Implemente medidas de seguridad adicionales para evitar futuros ataques.

3. Recuperación:

  • Restablecer los servicios: Restaure los servicios y sistemas críticos para que vuelvan a funcionar con total normalidad.
  • Comunicarse con las partes interesadas: Comuníquese con las partes interesadas afectadas, como clientes y empleados.
  • Revisar el plan de respuesta a incidentes: Revise y actualice el plan de respuesta a incidentes basándose en las lecciones aprendidas del ataque.

4. Análisis posterior al incidente:

  • Realizar una revisión: Lleve a cabo una revisión exhaustiva del incidente para identificar los puntos débiles en la postura de seguridad de la organización.
  • Implementar mejoras: Implemente mejoras para prevenir futuros ataques.
  • Documentar las lecciones aprendidas: Documente las lecciones aprendidas del incidente para futuras referencias.

El plan de respuesta a un ataque C2 se debe probar y actualizar periódicamente para garantizar su efectividad. También es importante implicar a las partes interesadas pertinentes, como el personal de TI, los profesionales de la seguridad y la alta dirección, en el desarrollo y la implementación del plan.

¿Le interesa saber cómo ManageEngine ayudó a empresas de todo el mundo a enfrentar los ataques C2 y otros tipos de ataques cibernéticos? Contacte a nuestros expertos en la solución Ver una demostración del producto

Ver una demostración del producto
En esta página
 
  • Medidas inmediatas que debe tomar
  • Mejoras avanzadas en la seguridad del correo electrónico
  • Evaluar el alcance de la infracción
  • Mitigar el riesgo de futuras violaciones del correo electrónico
  • Tácticas avanzadas de respuesta a incidentes
  • Consideraciones legales y de cumplimiento
  • Respuesta proactiva a los correos electrónicos comprometidos en la dark web con Log360