サイバーセキュリティ

C2サーバ、C&Cとは 図解サイバーセキュリティ用語

投稿日:

C2サーバの基本

攻撃者は?まずメール等を利用してユーザの端末にマルウェアを送信します。?ユーザの端末にマルウェアをインストールすることがでたら、?そのマルウェアはC2サーバ(C&C)に感染した端末の情報を送付します。情報にはOSやパッチレベル、ユーザ情報(権限など)などを含み、さらなる攻撃のための情報収集を行います。?そして攻撃者はユーザ端末から重要な情報を収集するために端末に効果的と思われるコマンドを送付します。

C2サーバの応用

C2サーバを設置しても、すぐにセキュリティ会社などに発見されてブラックリストに登録されてしまいます。ですので、最近は攻撃者はC2サーバを設置せずに、既存の正常なウェブサービスを利用してユーザ端末に感染したマルウェアにコマンドを送付します。

例えば、攻撃者はTwitterやPastebinなどのウェブサービスにある文字列を記載します。その文字列はマルウェアに対してのコマンドを表しています。?マルウェアは端末に感染後、定期的に指定されたウェブサービスにアクセスして、ある特別な文字列がないかをチェックします。攻撃者はあるタイミングでそのウェブサービスに文字列を記載した記事やコメントを書き込みます。?マルウェアはその文字列を認識して、ユーザ端末内部でコマンドを実行します。

最近のC2サーバの事例

最近良くC2サーバが利用されるのはランサムウェアです。ランサムウェアは端末に感染したら指定された拡張子のファイルを暗号化しますが、その際に利用される暗号鍵はC2サーバからランサムウェアに送付されます。C2サーバではどの端末のランサムウェアにどの暗号鍵を送付したかを把握していますので、復号するための鍵を管理することができ、ビットコインが支払われたら復号するための鍵をユーザに渡す事ができるのです。

広告

広告

-サイバーセキュリティ

関連記事

no image

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

no image

NDRスパム

NDRとはNon Delivery Receiptの略で「配信不能レポート」の事です。メールを送信して、宛先が存在しなかった場合などに送信者に「送信できませんでした」というような旨のNDRが送付されま …

no image

pingによるOSの識別 TTL

ping結果のTTL(Time To Live)の値である程度ping先のOSの種類がわかります。以下その目安です。 もちろんルーター等を経由した場合はその分TTLが減りますので、その点も考慮する必要 …

no image

シマンテック、ウィルスソフトとPCAnywareのソースコード流出

やってしまいましたね。セキュリティソフト会社のシマンテックが古いウィルスソフト「ノートン」の2006年版とPCAnywareのソースコードの流出があった事を発表しました。最近では「ノートン」という名前 …

WAF(ウェブアプリケーションファイアウォール)とは

WAFはWeb Application Firewallの略で、Webサービスを攻撃から保護するためのシステムです。WAFはHTTP通信を分析して、悪意のあるコマンドやパラメータを含む通信をブロックし …

広告

転職