command-and-control server (C&C server)

Apa itu server command-and-control?

Server command-and-control (C&C server) adalah komputer yang memberikan instruksi kepada perangkat digital yang telah terinfeksi dengan rootkit atau jenis malware lainnya, seperti ransomware. C&C server dapat digunakan untuk membuat jaringan perangkat terinfeksi yang kuat dan mampu melancarkan serangan distributed denial-of-service (DDoS), mencuri data, menghapus data, atau mengenkripsi data dalam rangka pemerasan.

Dulu, C&C server sering kali berada di bawah kendali fisik penyerang dan bisa tetap aktif selama bertahun-tahun. Saat ini, C&C server umumnya memiliki masa pakai yang singkat; mereka sering bersembunyi dalam layanan cloud yang sah dan menggunakan algoritma pembuatan domain otomatis untuk mempersulit penegak hukum dan pemburu malware etis dalam melacaknya.

Bagaimana cara kerja C&C server?

Agar serangan C&C dapat terjadi, server C&C yang berbahaya harus mendapatkan akses ke perangkat yang sudah terinfeksi. Sebagian besar perangkat seperti laptop, desktop, tablet, ponsel cerdas, dan perangkat IoT rentan terhadap serangan semacam ini.

Serangan command-and-control biasanya dilakukan melalui saluran berikut:

  • Email phishing yang menipu pengguna agar mengklik tautan berbahaya atau lampiran.
  • Malvertising yang menyebarkan malware dengan menyuntikkan kode berbahaya ke dalam iklan digital.
  • Ekstensi browser yang rentan dan plugin yang dapat memperkenalkan skrip berbahaya ke dalam halaman web interaktif untuk mengalihkan, memblokir, dan mencuri informasi yang dimasukkan ke dalam formulir online.
  • Malware yang langsung diinstal di perangkat untuk menjalankan perintah berbahaya.

Setelah perangkat berhasil disusupi, aktor ancaman akan berkomunikasi dengan server C&C yang berbahaya untuk mengirim instruksi ke perangkat yang terinfeksi dan membentuk jaringan berbahaya. Jaringan yang dikendalikan oleh C&C server disebut botnet, dan node jaringan yang menjadi bagian dari botnet kadang-kadang disebut zombie. Beaconing juga dapat digunakan antara perangkat yang terinfeksi dan server C&C untuk mengirim instruksi atau payload tambahan.

Setelah host yang terinfeksi mulai menjalankan perintah dari server C&C, malware lebih lanjut dapat diinstal, memberikan aktor ancaman kendali penuh atas perangkat yang dikompromikan. Untuk menghindari deteksi firewall, aktor ancaman mungkin mencoba menyamarkan lalu lintas C&C dengan lalu lintas sah lainnya, seperti HTTP, HTTPS, atau sistem nama domain (DNS).

Kasus penggunaan berbahaya C&C server

Meskipun mekanisme keamanan siber dan intelijen ancaman telah diterapkan, organisasi mungkin tidak selalu dapat memantau komunikasi keluar secara efektif. Hal ini dapat memungkinkan saluran komunikasi keluar tertentu — termasuk email phishing, gerakan lateral, atau situs web yang terinfeksi — menyusup ke jaringan dan menyebabkan kerusakan.

C&C server berfungsi sebagai pusat komando yang mengendalikan seluruh aktivitas terkait serangan. Selain menginstal malware, aktor ancaman dapat menggunakan server C&C untuk melakukan aktivitas berbahaya berikut:

  • Pencurian data. Aktor ancaman dapat memindahkan data sensitif organisasi, seperti catatan keuangan, ke server C&C.
  • Reboot perangkat. Penjahat siber dapat menggunakan serangan C&C untuk mengganggu tugas yang sedang berlangsung dengan me-restart perangkat yang dikompromikan.
  • Penutupan jaringan. Aktor ancaman dapat menggunakan serangan ini untuk mematikan beberapa perangkat atau seluruh jaringan.
  • Serangan DDoS. Peretas dapat mencoba mengganggu layanan web atau menutup situs dengan mengirimkan sejumlah besar permintaan DDoS ke alamat IP server.
  • Penyalahgunaan sumber daya di masa depan. Serangan C&C dapat dilakukan untuk mengganggu aplikasi yang sah, berdampak negatif pada sumber daya di masa depan.
  • Advanced Persistent Threat (APT). Sebuah APT mungkin tidak langsung menyerang atau akan tetap dorman setelah menginfeksi host tertentu, menunggu kesempatan yang lebih baik.

Topologi botnet yang populer

Botnet adalah sekelompok bot yang terinfeksi malware dan terhubung ke internet yang dikendalikan oleh aktor ancaman. Sebagian besar botnet memiliki arsitektur command-and-control yang terpusat, meskipun botnet peer-to-peer (P2P) semakin populer karena sifatnya yang terdesentralisasi.

Topologi botnet yang populer meliputi:

  • Topologi bintang. Bot diatur mengelilingi server pusat.
  • Topologi multi-server. Terdapat beberapa server C&C untuk redundansi.
  • Topologi hierarkis. Beberapa server C&C diorganisasikan ke dalam kelompok bertingkat.
  • Topologi acak. Komputer yang diretas berkomunikasi sebagai botnet P2P.
  • P2P. Setiap bot beroperasi secara independen sebagai klien dan server.

Dalam botnet tradisional, bot terinfeksi dengan Trojan horse dan menggunakan Internet Relay Chat (IRC) untuk berkomunikasi dengan server C&C pusat.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *