Blog

Que sont les attaques de commandement et de contrôle et que pouvez-vous faire pour les éviter ?

attaques de commandement et de contrôle ce que vous pouvez faire pour éviter



Les attaques de commande et de contrôle, également appelées C2 et C&C, sont un type d'attaque dans lequel un acteur malveillant utilise un serveur malveillant pour commander et contrôler des machines déjà compromises sur un réseau. Le serveur malveillant (le serveur de commande et de contrôle) est également utilisé pour recevoir la charge utile souhaitée du réseau compromis.

Dans cet article, nous examinerons en détail ce qu’est une attaque de commandement et de contrôle, comment l’attaque fonctionne et ce qui peut être fait pour se défendre contre elle.



Comment fonctionnent les attaques de commande et de contrôle

Comme mentionné ci-dessus, les attaques de commande et de contrôle contrôlent les machines infectées à partir d'un serveur distant malveillant. Mais comment les attaquants infectent-ils ces machines en premier lieu ?

Cela se fait via les « canaux de compromis » typiques :



  • E-mails de phishing ou messages instantanés
  • Publicité malveillante
  • Plugins de navigateur Web vulnérables
  • Installation directe de logiciels malveillants (si l'attaquant parvient à accéder physiquement à la machine)

Une fois la machine compromise, elle établira une communication avec le serveur de commande et de contrôle malveillant, indiquant qu’elle est prête à recevoir des instructions. L’ordinateur infecté exécutera les commandes provenant du serveur C2 de l’attaquant, ce qui entraînera généralement l’installation d’autres logiciels malveillants. Cela donne à l’attaquant le contrôle total de l’ordinateur de la victime. À mesure que de plus en plus d’utilisateurs au sein de l’organisation tombent dans le piège du phishing ou sont compromis, le code malveillant se propage généralement à de plus en plus d’ordinateurs, créant un botnet – un réseau de machines infectées. En peu de temps, l’attaquant prend le contrôle total de ce réseau.

Appareils pouvant être ciblés par des attaques de commande et de contrôle

Pratiquement n’importe quel appareil informatique peut être ciblé par une attaque de commande et de contrôle. Cela signifie:

  • Ordinateurs de bureau/ordinateurs portables
  • Comprimés
  • Téléphones intelligents
  • Appareils IoT

Cette dernière entrée sur la liste est particulièrement inquiétante car ces appareils ont tendance à être plutôt peu sécurisés. Ils disposent d’interfaces utilisateur extrêmement limitées, ce qui les rend difficiles à contrôler. Ils n’ont pas tendance à être mis à jour très souvent avec des correctifs de sécurité. Et ils ont tendance à partager beaucoup de données sur Internet. Vous souhaiterez peut-être limiter le nombre d’appareils IoT sur votre réseau.

Quels sont les risques des attaques de commandement et de contrôle ?

  • Le vol de données – Les données sensibles de l'entreprise, comme les documents financiers ou les informations exclusives, pourraient être copiées ou transférées vers le serveur de commande et de contrôle.
  • Fermer – Un attaquant pourrait arrêter un nombre illimité de machines compromises. Dans le cadre d’une attaque de commandement et de contrôle à grande échelle, ils pourraient même faire tomber l’ensemble du réseau.
  • Redémarrer – Les machines infectées peuvent s’arrêter et redémarrer soudainement et à plusieurs reprises, perturbant ainsi les opérations de l’entreprise.
  • Attaques de logiciels malveillants/ransomwares – Une fois que l’attaquant a compromis une machine sur votre réseau, il a accès à votre réseau. En fonction des autorisations qu'ils ont réussi à obtenir, ils pourraient par exemple déclencher le téléchargement de logiciels malveillants ou chiffrer des données sensibles et exiger une rançon pour la clé de déchiffrement.
  • Botnet par déni de service distribué – Avec suffisamment de machines compromises sur le réseau, l’attaquant aura accès à un botnet : un réseau d’ordinateurs infectés prêts à recevoir des commandes malveillantes. Une utilisation courante des botnets consiste à monter DDoS attaques. Les attaques DDoS mettent hors service des serveurs ou des réseaux en les inondant de trafic. Une fois que les attaquants ont établi un botnet, ils peuvent demander à chaque machine d'envoyer une requête au serveur/réseau ciblé, ce qui, avec suffisamment de requêtes, peut submerger le serveur/réseau au point de le mettre hors ligne.

Différentes architectures de commande et de contrôle

Différentes architectures serveur/client de commande et de contrôle sont utilisées dans les attaques de commande et de contrôle. L'architecture détermine la manière dont la machine infectée communique avec le serveur de commande et de contrôle. Différentes architectures ont été développées au fil du temps pour éviter au maximum la détection. Il existe trois architectures de commande et de contrôle différentes.

  1. Architecture centralisée

L'architecture centralisée est probablement la plus courante. Il s’agit du schéma client/serveur classique, dans lequel tous les ordinateurs infectés communiquent avec un serveur central qui gère toutes les réponses. Cependant, ce modèle est le plus simple à détecter et à bloquer car toutes les commandes proviennent d’une seule source. De ce fait, l’adresse IP du serveur de commande et de contrôle peut être facilement détectée et bloquée. Pour tenter d'atténuer ce problème, certains attaquants utilisent des serveurs proxy, des redirecteurs et des équilibreurs de charge dans leur configuration de serveur C&C.

  1. Architecture peer-to-peer

Le modèle peer-to-peer fonctionne exactement comme Transferts de fichiers BitTorrent , dans lequel il n’y a pas de serveur central. Dans cette architecture, chaque ordinateur infecté agit comme un nœud du botnet, transmettant des messages (c'est-à-dire des commandes) à n'importe quel autre nœud du botnet. Dans ce modèle d'architecture, le besoin d'un serveur central est éliminé. Cependant, cette architecture est souvent utilisée dans une configuration hybride. L'architecture peer-to-peer est utilisée comme solution de secours dans une configuration hybride, en cas de panne du serveur central ou de compromis d'une autre manière.

Le modèle d’architecture peer-to-peer est beaucoup plus difficile à détecter que le modèle d’architecture centralisé. Et même s’il est détecté, il y a de fortes chances que vous ne puissiez désactiver qu’un seul nœud à la fois – ce qui vous causera quand même un mal de tête important.

  1. Architecture aléatoire

Le modèle d'architecture aléatoire est le plus difficile à détecter. C’est aussi la raison pour laquelle il a été créé : pour que le personnel de sécurité ne puisse pas détecter la chaîne de commandement d’un botnet ou tracer et arrêter le serveur C&C. Ce modèle d'architecture fonctionne en envoyant des commandes à l'hôte ou au botnet infecté à partir de différentes sources aléatoires. Ces sources peuvent être des liens dans des commentaires sur les réseaux sociaux, des CDN, des e-mails, des forums de discussion IRC, etc. Les attaquants ont tendance à choisir des sources fiables et fréquemment utilisées pour envoyer les commandes malveillantes, ce qui augmente leurs chances de succès.

Flux d'attaque possible d'une attaque de commandement et de contrôle

Ce qui suit représente un flux d’attaque typique dans une attaque de commandement et de contrôle.

  1. Des acteurs malveillants infectent un système au sein d'une organisation (souvent derrière un pare-feu) avec malware . Ceci est réalisé grâce à Hameçonnage des e-mails, publicité malveillante , plugins de navigateur vulnérables ou installation directe de logiciels malveillants via une clé USB ou un lecteur de disque (accès physique requis), etc.
  2. Une fois la première machine infectée, le canal C&C est créé et le système compromis envoie une requête ping au serveur C&C, lui faisant savoir qu'il attend de recevoir des commandes. Cette communication entre les hôtes et le serveur C&C s'effectue généralement via des canaux de trafic fiables, tels que DNS .
  3. Maintenant que le canal C&C est établi, le système infecté peut recevoir des instructions supplémentaires du serveur C&C, à condition que le malware ne soit pas détecté. Le serveur C&C utilisera probablement ce canal pour demander à l'hôte compromis d'effectuer des opérations telles qu'installer davantage de logiciels malveillants, chiffrer les données et même extraire de manière récursive les données de l'hôte infecté.
  4. Si les attaquants sont ambitieux, ils pourraient utiliser le serveur C&C pour demander à l'hôte infecté d'effectuer une recherche. vulnérabilités sur d'autres hôtes pour tenter de se déplacer latéralement à travers le réseau. Cela peut conduire à la création d’un réseau d’hôtes compromis (c’est-à-dire un botnet) et compromettre l’ensemble de l’infrastructure informatique d’une organisation.

Exemples concrets d'attaques de commandement et de contrôle

Twitter

En février 2013, Twitter a détecté une attaque sophistiquée sur son réseau d'entreprise. Il s’agissait d’une attaque de commande et de contrôle perpétrée par le groupe de hackers Wild Neutron ou Morpho (il porte les deux noms), qui utiliserait la même attaque contre Facebook, Apple et Microsoft dans les semaines à venir. L’attaque contre Twitter a compromis environ 250 000 comptes d’utilisateurs, permettant aux attaquants d’accéder, entre autres, à leurs noms d’utilisateur et adresses e-mail.

Facebook

Quelques semaines après le piratage de Twitter, Facebook a été frappé essentiellement par la même attaque de commandement et de contrôle que Twitter. Cependant, peut-être par prévoyance après avoir pris connaissance du piratage de Twitter, l'attaque n'a permis d'exposer aucune donnée client et le logiciel malveillant ne s'est pas propagé sur le réseau. Il était contenu sur un petit nombre d’ordinateurs portables appartenant aux ingénieurs de Facebook.

Pomme

Pomme n’a pas été en reste lors de ce hackathon 2013. Comme Facebook et Microsoft, Apple a été frappé par la même attaque en février. Selon Apple, à l'époque, seul un petit nombre d'ordinateurs de son campus de Cupertino avaient été attaqués avec succès par le même groupe. Le hack a exploité une vulnérabilité Java pour compromettre les machines (comme pour les autres sociétés concernées). Apple a publié une déclaration à Reuters disant qu ''[t] il n'y a aucune preuve que des données aient quitté Apple'. Il n'est peut-être pas parti, mais il a peut-être été consulté… Apple a publié une mise à jour de Java pour atténuer l'exploit quelques jours plus tard.

Microsoft

Encore une fois, quelques semaines après l'attaque sur Twitter, Microsoft a été attaqué de la même manière par le même groupe. Les attaquants ont réussi à compromettre la base de données de vulnérabilités non corrigées de Microsoft. Inutile de dire que l’attaque aurait pu être dévastatrice. Microsoft a publié une déclaration disant : « Nous n'avons aucune preuve que les données des clients soient affectées et notre enquête est en cours. » Cependant, selon Reuters, Microsoft craignait beaucoup que les informations compromises ne conduisent à des attaques ultérieures. Et cela pourrait bien être arrivé.

Se défendre contre les attaques de commandement et de contrôle

Comme c’est souvent le cas, la manière de se défendre contre les attaques de commande et de contrôle dépend du fait que vous soyez un utilisateur ou un administrateur. Différentes mesures d’atténuation s’appliquent à chacun. Nous fournirons les deux.

Pour les administrateurs système

Assurer une formation de sensibilisation à la sécurité

Vous souhaitez que votre personnel soit conscient des menaces en ligne auxquelles il peut être confronté. La formation à la sécurité de votre personnel vous aidera non seulement à atténuer les attaques de commandement et de contrôle, mais également de nombreux autres types d'attaques. La formation à la sécurité favorise des habitudes plus sécurisées au sein de votre organisation et réduira le niveau de risque de nombreuses menaces en ligne auxquelles vous êtes confronté quotidiennement, en particulier les tentatives de phishing. De plus, l’ensemble de votre organisation sera mieux préparée à faire face aux événements de sécurité. Vous ne pouvez tout simplement pas perdre avec celui-ci.

Surveillez vos réseaux

Vous aurez besoin d’une visibilité sur le trafic circulant sur votre réseau. Plus précisément, vous souhaitez être à l’affût des comportements suspects se produisant sur votre réseau. Certains des signes pouvant indiquer une attaque (commande et contrôle ou autre) seraient des incompatibilités de noms de fichiers avec leurs hachages correspondants, des fichiers correctement nommés stockés dans des emplacements impairs et des connexions d'utilisateurs à des moments inhabituels et des accès à des emplacements réseau inhabituels.

Utilisez un système de détection d'intrusion (IDS) basé sur l'IA

Il est généralement difficile pour les défenses informatiques traditionnelles d’identifier les comportements suspects. C’est parce qu’ils ont tendance à être de nature binaire. Ils font référence aux autorisations du compte ou à un Liste de contrôle d'accès et choisissez entre « oui » et « non » ou « accorder l'accès » ou « refuser l'accès ». Mais il existe aujourd’hui des technologies capables d’analyser et de détecter efficacement les événements inhabituels. La technologie basée sur l’IA est aujourd’hui utilisée dans de nombreux secteurs. Et la sécurité informatique n’est pas en reste. Avec un système basé sur l'IA ID , vous pouvez l'« enseigner » via l'apprentissage automatique pour identifier les modèles de comportement « normaux » sur votre réseau. À partir de cette base, et avec un peu de formation, il sera capable de détecter les comportements aberrants et pourra vous éviter un casse-tête majeur.

Limitez autant que possible les autorisations des utilisateurs

Le principe des moindres privilèges doit être mis en œuvre dans votre organisation. Attribuez à chaque utilisateur le moins d’autorisations requises pour effectuer son travail et rien de plus.

Configurez l'authentification à deux facteurs (2FA) sur tous les comptes qui la prennent en charge

2FA est un moyen robuste de rendre plus difficile l'abus de vos informations d'identification par des acteurs malveillants. Non seulement cela, mais cela pourrait en décourager beaucoup d’entre eux d’essayer.

Mettre en œuvre la signature de code numérique

Signature numérique empêche l'exécution de logiciels non autorisés à moins qu'ils ne soient signés par une entité de confiance. Ne laissez pas la porte grande ouverte en permettant à n’importe quelle application de n’importe où d’être installée sur les appareils de votre réseau. Mettez en place une liste blanche grâce à la signature de code numérique.

Pour les utilisateurs

Il s’agit avant tout de conseils de bon sens qui peuvent vous aider à éviter diverses menaces en ligne. Toutefois, les quatre premiers points sont directement liés à l’atténuation des attaques masquées.

  • N'ouvrez pas les pièces jointes dans les e-mails à moins que vous soyez sûr de savoir qui est l’expéditeur et que vous ayez confirmé auprès de cette personne qu’elle vous a réellement envoyé l’e-mail en question. Vous devez également vous assurer qu’ils savent que l’e-mail contient une pièce jointe et qu’ils savent de quoi il s’agit.
  • Ne cliquez pas sur les liens (URL) dans les e-mails à moins que vous puissiez confirmer qui vous a envoyé le lien, quelle est sa destination et que l'identité de l'expéditeur n'est pas usurpée. Une fois que vous avez fait cela, vous devriez examiner le lien. Est-ce un HTTP ou un HTTPS lien? La grande majorité de l’Internet légitime utilise aujourd’hui HTTPS. Vérifiez également le lien pour une orthographe incorrecte (faceboook au lieu de Facebook ou goggle au lieu de Google) ? Si vous pouvez arriver à destination sans utiliser le lien, faites-le à la place.
  • Utiliser un pare-feu - Tous les principaux systèmes d'exploitation ont un système entrant intégré pare-feu , et tous les routeurs commerciaux du marché fournissent un Pare-feu NAT . Vous voulez vous assurer qu’ils sont activés. Ils pourraient bien constituer votre première ligne de défense si vous cliquez sur un lien malveillant.
  • Déconnectez-vous et redémarrez votre ordinateur – Lorsque vous avez fini de travailler sur votre ordinateur, déconnectez-vous de votre session et redémarrez la machine. Cela effacera de la mémoire les éléments qui pourraient être utilisés pour compromettre votre ordinateur.
  • Utilisez des mots de passe forts et complexes – Plus vos mots de passe sont complexes, moins vous risquez d’être victime d’attaques basées sur les identifiants. Selon la méthodologie choisie par l’attaquant, une attaque de commandement et de contrôle réussie peut très bien commencer par une attaque basée sur les informations d’identification.
  • Utilisez un programme antivirus – Achetez uniquement des logiciels antivirus authentiques et bien évalués auprès de fournisseurs légitimes. Gardez votre antivirus à jour et configurez-le pour exécuter des analyses fréquentes.
  • Gardez votre système d'exploitation à jour - Vous voulez les dernières mises à jour du système d'exploitation, car elles contiennent les dernières correctifs de sécurité . Assurez-vous de les installer dès qu’ils sont disponibles.
  • Ne cliquez jamais sur les pop-ups. Jamais. Peu importe où ils vous emmènent, les pop-ups ne sont que de mauvaises nouvelles.
  • Ne cédez pas à la « fatigue des avertissements » si votre navigateur affiche un énième avertissement concernant un site Web. Vous essayez d'accéder . Les navigateurs Web étant de plus en plus sécurisés, le nombre d'invites de sécurité qu'ils affichent a quelque peu augmenté. Vous devez toujours prendre au sérieux l’avertissement de votre navigateur, et si votre navigateur affiche une invite de sécurité concernant une URL que vous essayez de visiter, écoutez votre navigateur et récupérez vos informations ailleurs. C’est particulièrement vrai si vous avez cliqué sur un lien que vous avez reçu par e-mail ou SMS : cela pourrait vous renvoyer vers un site malveillant. Ne négligez pas les invites d’avertissement de votre ordinateur .

Conclure

C’est donc essentiellement le problème des attaques de commandement et de contrôle. Ils peuvent certainement être méchants dans la mesure où ils pourraient conduire à un rachat complet du réseau. Mais, comme c'est le cas pour de nombreuses autres attaques en ligne, mettre en pratique les mesures de sécurité ci-dessus et promouvoir la sensibilisation à la sécurité au sein de votre organisation est un bon pari pour réduire les risques d'être la proie d'attaques en ligne en général et d'attaques de commandement et de contrôle en particulier.

^