C2-инфраструктура

25 декабря, 2025, 14:28

C2-инфраструктура (Command and Control Infrastructure, Инфраструктура управления и контроля) — это набор серверов, доменов и сетевых протоколов, которые злоумышленник создает и поддерживает для централизованного удаленного управления скомпрометированными системами (ботами в ботнете), получения от них данных и координации дальнейших атак. C2 является мозговым центром и каналом связи для большинства современных сложных угроз, от ботнетов до APT-группировок.

Возможности и компоненты C2-инфраструктуры:

  • Серверы управления (C2-серверы): Основные машины, на которых работает программное обеспечение для управления ботами (например, MetasploitCobalt StrikeEmpire C2). Они принимают соединения от зараженных хостов, отдают им команды и собирают результаты.
  • Механизмы устойчивости (Resilience):
    • Fast-flux сети: Быстрая смена IP-адресов, на которые указывает домен C2, с использованием большого пула адресов, что затрудняет блокировку.
    • Domain Generation Algorithms (DGA): Алгоритмическая генерация большого количества доменных имен для C2, которые боты будут поочередно пытаться преобразовывать доменное имя в IP-адрес. Это делает предсказание и заблаговременная блокировка доменов практически невозможными.
    • Использование легитимных сервисов: Каналы управления могут быть организованы через популярные публичные платформы (Twitter, GitHub, Telegram, облачные хранилища), чей трафик редко блокируется. Это называется Covert C2 или C2 через доверенные сервисы.
    • P2P (Peer-to-Peer) архитектура: Устранение единой точки отказа за счет того, что боты общаются друг с другом, передавая команды по цепочке.
  • Протоколы связи: Для маскировки под легитимный трафик C2 может использовать HTTP/HTTPS, DNS, ICMP или даже протоколы популярных веб-сервисов.
  • Redirectors (Перенаправляющие серверы): Промежуточные серверы, которые принимают трафик от ботов и перенаправляют его на реальный C2-сервер, скрывая его истинное местоположение и обеспечивая дополнительный уровень анонимности.

Обнаружение и нейтрализация C2-инфраструктуры (C2 Takedown) — ключевая задача Threat Intelligence и правоохранительных органов. Для защиты организациям необходимо: мониторить исходящий трафик на аномальные соединения (особенно DNS), использовать Threat Intelligence Feeds для блокировки известных адресов и доменов C2, внедрять сетевые сегментацию и брандмауэры нового поколения (NGFW) с возможностями анализа трафика на предмет C2-паттернов. Современные EDR/XDR-платформы также способны выявлять поведение, характерное для связи с C2.

Как устроена, на чем построена и сколько стоит ИБ-система Федеральной таможенной службы. Разбор SecPost

Упоминания