Máy chủ “Command and Control”, “C2 Server” dành cho phần mềm độc hại là gì?

Máy chủ “Command and Control”, “C2 Server” dành cho phần mềm độc hại là gì?

Nếu thường xuyên đón đọc các bài viết trong mục “Tấn công mạng” trên Quản Trị Mạng, chắc hẳn đã không ít lần bạn gặp các cụm từ như “máy chủ ra lệnh và kiểm soát”, “Command and Control server”, “máy chủ C2”, hay “máy chủ C&C” – đặc biệt là trong các bài viết liên quan đến mã độc.

Vậy những cụm từ này dùng để chỉ khái niệm gì? Chúng có ý nghĩa như thế nào? Hãy cùng tìm hiểu ngay sau đây.

Mã độc

Command and Control là gì?

Trong lĩnh vực bảo mật – an ninh mạng, một phương pháp cực kỳ phổ biến thường được tội phạm mạng sử dụng để phân phối và kiểm soát phần mềm độc hại trên các hệ thống mục tiêu là dùng máy chủ “Command and Control” (tạm dịch: Ra lệnh và Kiểm soát), hay còn được gọi tắt là C2 hoặc C&C. Đây là khi những kẻ xấu sử dụng máy chủ trung tâm để lén lút phân phối phần mềm độc hại đến máy tính mục tiêu, thực thi các lệnh cần thiết đối với chương trình độc hại và từ đó chiếm quyền kiểm soát thiết bị.

C&C là một phương thức tấn công đặc biệt xảo quyệt, bởi chỉ cần một máy tính bị nhiễm virus cũng có thể trở thành cầu nối cho phép hacker hạ gục toàn bộ hệ thống mạng nội bộ. Sau khi phần mềm độc hại xâm nhập thành công trên một máy tính bị lây nhiễm, máy chủ C&C có thể ra lệnh cho nó sao chép và tự phát tán ra các máy tính khác trong mạng — điều này có thể dễ dàng xảy ra vì mã độc về cơ bản đã vượt qua được tường lửa của mạng.

Khi toàn bộ hệ thống mạng bị lây nhiễm, kẻ tấn công có thể tắt hoặc mã hóa các thiết bị bị nhiễm để khóa người dùng. Những cuộc tấn công bằng mã độc tống tiền WannaCry vào năm 2017 đã thực hiện chính xác kịch bản này bằng cách lây nhiễm vào máy tính tại các cơ sở quan trọng như bệnh viện, trường học… Sau đó mã hóa chúng và đòi tiền chuộc bằng bitcoin.

C&C hoạt động như thế nào?

Các cuộc tấn công C&C bắt đầu với sự lây nhiễm ban đầu có thể xảy ra thông qua các kênh như:

  • Email lừa đảo có chứa liên kết đến các trang web độc hại, hoặc chứa các tệp đính kèm có phần mềm độc hại bên trong.
  • Lỗ hổng trong một số plugin của trình duyệt.
  • Người dùng vô tình tải xuống phần mềm bị nhiễm mã độc.

Phần mềm độc hại thường đột nhập qua tường lửa bằng cách ngụy trang như một thứ gì đó vô hại tính — chẳng hạn như một bản cập nhật phần mềm có vẻ hợp pháp, một email có vẻ khẩn cấp hoặc một tệp đính kèm vô hại.

Khi đã lây nhiễm thành công trên thiết bị mục tiêu, mã độc sẽ gửi tín hiệu trở lại máy chủ lưu trữ do hacker vận hành. Sau đó, kẻ tấn công có thể kiểm soát thiết bị bị lây nhiễm giống như cách mà nhân viên hỗ trợ kỹ thuật có thể đảm nhận quyền kiểm soát máy tính của bạn trong khi khắc phục sự cố từ xa. Lúc này, máy tính của bạn có thể trở thành “bot” hoặc “zombie” dưới sự kiểm soát của kẻ tấn công.

Sau đó, máy tính bị lây nhiễm sẽ tìm đến các máy khác (trong cùng một mạng hoặc qua giao tiếp) bằng cách lây nhiễm mã độc cho chúng. Cuối cùng, các máy này tạo thành một mạng “botnet” do kẻ tấn công điều khiển.

Botnet

Loại hình tấn công này đặc biệt gây hại đối với các tổ chức, doanh nghiệp. Những hệ thống cơ sở hạ tầng như cơ sở dữ liệu bệnh viện hoặc thông tin liên lạc ứng phó khẩn cấp có thể bị xâm phạm.

Nếu cơ sở dữ liệu bị xâm phạm, một lượng lớn dữ liệu nhạy cảm có thể bị đánh cắp. Trong một số cuộc tấn công dạng này, mã độc còn được thiết kế để chạy trong nền vĩnh viễn, như với trường hợp máy tính bị tấn công để khai thác tiền điện tử mà người dùng không hề hay biết.

Cấu trúc C&C

Ngày nay, máy chủ C&C chính thường được tin tặc lưu trữ trên đám mây, nhưng nó cũng có thể tồn tại dưới dạng máy chủ vật lý dưới sự kiểm soát trực tiếp của kẻ tấn công. Những kẻ tấn công có thể tự tùy chỉnh máy chủ C&C của chúng theo một số cấu trúc hoặc kết cấu liên kết khác nhau:

  • Cấu trúc liên kết hình sao: Các bot được tổ chức xung quanh một máy chủ trung tâm.
  • Cấu trúc liên kết đa máy chủ: Nhiều máy chủ C&C được sử dụng để dự phòng.
  • Cấu trúc liên kết phân cấp: Nhiều máy chủ C&C được tổ chức thành một hệ thống phân cấp theo từng nhóm.
  • Cấu trúc liên kết ngẫu nhiên: Các máy tính bị lây nhiễm giao tiếp như một mạng botnet ngang hàng (P2P botnet).

Những kẻ tấn công thường sử dụng giao thức trò chuyện chuyển tiếp qua internet (IRC) cho các cuộc tấn công mạng của chúng. C&C là một cách để những kẻ tấn công sử dụng các biện pháp bảo vệ nhằm vào các mối đe dọa mạng dựa trên IRC.

Từ năm 2017 trở lại đây, tin tặc có xu hướng sử dụng các ứng dụng như Telegram làm trung tâm chỉ huy và kiểm soát cho phần mềm độc hại.

Hacker có thể làm khi nắm trong tay quyền kiểm soát

Khi kẻ tấn công có quyền kiểm soát một mạng hoặc thậm chí chỉ một máy tính trong mạng đó, chúng có thể:

  • Đánh cắp dữ liệu bằng cách chuyển hoặc sao chép tài liệu và thông tin đến máy chủ của chúng.
  • Buộc một hoặc nhiều máy tắt hoặc liên tục khởi động lại, làm gián đoạn hoạt động.
  • Tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Cách bảo vệ trước hình thức tấn công C&C

Như với hầu hết các hình thức tấn công mạng khác, việc chống lại các cuộc tấn công C&C sẽ cần tới sự kết hợp hiệu quả giữa phần mềm bảo vệ và hành động của con người. Bạn nên:

  • Tìm hiểu các dấu hiệu của một email lừa đảo.
  • Cảnh giác khi nhấp vào bất kỳ liên kết và tệp đính kèm nào.
  • Cập nhật hệ thống của bạn thường xuyên và chạy phần mềm chống virus chất lượng.
  • Cân nhắc sử dụng công cụ tạo mật khẩu hoặc dành thời gian để tạo ra các mật khẩu duy nhất. Sử dụng trình quản lý mật khẩu chuyên biệt.

Hầu hết các cuộc tấn công mạng đều yêu cầu nạn nhân phải thực hiện một thao tác nào đó để kích hoạt chương trình độc hại, chẳng hạn như nhấp vào liên kết hoặc mở tệp đính kèm. Do đó, sự thận trọng sẽ là yếu tố mang tính quyết định ở đây.