Ngày đăng: 16/12/2024 09:04
Vậy những cụm từ này dùng để chỉ khái niệm gì? Chúng có ý nghĩa như thế nào? Hãy cùng tìm hiểu ngay sau đây.
Trong lĩnh vực bảo mật - an ninh mạng, một phương pháp cực kỳ phổ biến thường được tội phạm mạng sử dụng để phân phối và kiểm soát phần mềm độc hại trên các hệ thống mục tiêu là dùng máy chủ "Command and Control” (tạm dịch: Ra lệnh và Kiểm soát), hay còn được gọi tắt là C2 hoặc C&C. Đây là khi những kẻ xấu sử dụng máy chủ trung tâm để lén lút phân phối phần mềm độc hại đến máy tính mục tiêu, thực thi các lệnh cần thiết đối với chương trình độc hại và từ đó chiếm quyền kiểm soát thiết bị.
C&C là một phương thức tấn công đặc biệt xảo quyệt, bởi chỉ cần một máy tính bị nhiễm virus cũng có thể trở thành cầu nối cho phép hacker hạ gục toàn bộ hệ thống mạng nội bộ. Sau khi phần mềm độc hại xâm nhập thành công trên một máy tính bị lây nhiễm, máy chủ C&C có thể ra lệnh cho nó sao chép và tự phát tán ra các máy tính khác trong mạng — điều này có thể dễ dàng xảy ra vì mã độc về cơ bản đã vượt qua được tường lửa của mạng.
Khi toàn bộ hệ thống mạng bị lây nhiễm, kẻ tấn công có thể tắt hoặc mã hóa các thiết bị bị nhiễm để khóa người dùng. Những cuộc tấn công bằng mã độc tống tiền WannaCry vào năm 2017 đã thực hiện chính xác kịch bản này bằng cách lây nhiễm vào máy tính tại các cơ sở quan trọng như bệnh viện, trường học… Sau đó mã hóa chúng và đòi tiền chuộc bằng bitcoin.
Các cuộc tấn công C&C bắt đầu với sự lây nhiễm ban đầu có thể xảy ra thông qua các kênh như:
Phần mềm độc hại thường đột nhập qua tường lửa bằng cách ngụy trang như một thứ gì đó vô hại tính — chẳng hạn như một bản cập nhật phần mềm có vẻ hợp pháp, một email có vẻ khẩn cấp hoặc một tệp đính kèm vô hại.
Khi đã lây nhiễm thành công trên thiết bị mục tiêu, mã độc sẽ gửi tín hiệu trở lại máy chủ lưu trữ do hacker vận hành. Sau đó, kẻ tấn công có thể kiểm soát thiết bị bị lây nhiễm giống như cách mà nhân viên hỗ trợ kỹ thuật có thể đảm nhận quyền kiểm soát máy tính của bạn trong khi khắc phục sự cố từ xa. Lúc này, máy tính của bạn có thể trở thành “bot” hoặc “zombie” dưới sự kiểm soát của kẻ tấn công.
Sau đó, máy tính bị lây nhiễm sẽ tìm đến các máy khác (trong cùng một mạng hoặc qua giao tiếp) bằng cách lây nhiễm mã độc cho chúng. Cuối cùng, các máy này tạo thành một mạng “botnet” do kẻ tấn công điều khiển.
Loại hình tấn công này đặc biệt gây hại đối với các tổ chức, doanh nghiệp. Những hệ thống cơ sở hạ tầng như cơ sở dữ liệu bệnh viện hoặc thông tin liên lạc ứng phó khẩn cấp có thể bị xâm phạm.
Nếu cơ sở dữ liệu bị xâm phạm, một lượng lớn dữ liệu nhạy cảm có thể bị đánh cắp. Trong một số cuộc tấn công dạng này, mã độc còn được thiết kế để chạy trong nền vĩnh viễn, như với trường hợp máy tính bị tấn công để khai thác tiền điện tử mà người dùng không hề hay biết.
Ngày nay, máy chủ C&C chính thường được tin tặc lưu trữ trên đám mây, nhưng nó cũng có thể tồn tại dưới dạng máy chủ vật lý dưới sự kiểm soát trực tiếp của kẻ tấn công. Những kẻ tấn công có thể tự tùy chỉnh máy chủ C&C của chúng theo một số cấu trúc hoặc kết cấu liên kết khác nhau:
Những kẻ tấn công thường sử dụng giao thức trò chuyện chuyển tiếp qua internet (IRC) cho các cuộc tấn công mạng của chúng. C&C là một cách để những kẻ tấn công sử dụng các biện pháp bảo vệ nhằm vào các mối đe dọa mạng dựa trên IRC.
Từ năm 2017 trở lại đây, tin tặc có xu hướng sử dụng các ứng dụng như Telegram làm trung tâm chỉ huy và kiểm soát cho phần mềm độc hại.
Khi kẻ tấn công có quyền kiểm soát một mạng hoặc thậm chí chỉ một máy tính trong mạng đó, chúng có thể:
Như với hầu hết các hình thức tấn công mạng khác, việc chống lại các cuộc tấn công C&C sẽ cần tới sự kết hợp hiệu quả giữa phần mềm bảo vệ và hành động của con người. Bạn nên:
Hầu hết các cuộc tấn công mạng đều yêu cầu nạn nhân phải thực hiện một thao tác nào đó để kích hoạt chương trình độc hại, chẳng hạn như nhấp vào liên kết hoặc mở tệp đính kèm. Do đó, sự thận trọng sẽ là yếu tố mang tính quyết định ở đây.