Server di comando e controllo (server C&C)

Un server di comando e controllo (server C&C) è un computer che impartisce direttive ai dispositivi digitali che sono stati infettati da rootkit o altri tipi di malware, come il ransomware. I server C&C possono essere utilizzati per creare potenti reti di dispositivi infetti in grado di eseguire attacchi DDoS (Distributed Denial of Service), rubare dati, eliminare dati o crittografare i dati al fine di attuare uno schema di estorsione. In passato, un server C&C era spesso sotto il controllo fisico di un utente malintenzionato e poteva rimanere attivo per diversi anni. Oggi, i server C&C hanno generalmente una durata di conservazione breve; spesso risiedono in servizi cloud legittimi e utilizzano algoritmi di generazione di domini automatizzati (DGA) per rendere più difficile per le forze dell'ordine e i cacciatori di malware white hat individuarli. 

Una rete dannosa sotto il controllo di un server C&C è chiamata botnet e nodi di rete che appartengono alla botnet vengono talvolta definiti zombi. In una botnet tradizionale, i bot vengono infettati da un cavallo di Troia e utilizzano Internet Relay Chat (IRC) per comunicare con un server C&C centrale. Queste botnet venivano spesso utilizzate per distribuire spam o malware e raccogliere informazioni sottratte, come i numeri di carte di credito. 

Le topologie di botnet più diffuse includono:

  • Topologia a stella: i bot sono organizzati attorno a un server centrale.
  • Topologia multi-server: sono disponibili più server C&C per la ridondanza.
  • Topologia gerarchica: più server C&C sono organizzati in gruppi a più livelli.
  • Topologia casuale: i computer cooptati comunicano come botnet peer-to-peer (botnet P2P).

Poiché la comunicazione IRC veniva tipicamente utilizzata per comandare le botnet, spesso è protetta. Ciò ha motivato la spinta a trovare modi più segreti per i server C&C di emettere comandi. I canali alternativi utilizzati per il comando botnet includono immagini JPG, file Microsoft Word e post da account fittizi LinkedIn o Twitter.

Ulteriori informazioni sul comando e il controllo delle botnet in questo video: