ちのはき溜め

大学院中退のエンジニアモドキの雑記帳。思ったこととか学んだこととかつらつらと

【覚え書き】C&C サーバ(Command & Control Server)

ZDNetランサムウェアの記事読んでたら出てきた言葉。知識をつける為の知識が無いから、理解するのに時間かかってるけど気にしない。回り道でもいいじゃないか。

japan.zdnet.com

C&C サーバ(Command & Control Server, コマンド&コントロールサーバー)

DDoS、スパムメール配信などのサイバー攻撃において、ボットネットに命令(Command)を出したり、制御(Control)したりする役割を担うサーバの呼称。

https://eset-info.canon-its.jp/files/user/malware_info/images/threat/150120_3/images/img01.jpg

https://eset-info.canon-its.jp/files/user/malware_info/images/threat/150120_3/images/img01.jpg

C&Cサーバーは、サーバーを介してクライアント同士が通信を行うIRC(Internet Relay Chat:インターネット・リレー・チャット)の仕組みを通信手段に用いることが多い。このため、C&Cサーバーによって構成されるボットネットを、「IRCボットネット」などと呼ぶことがある。

外部から不正にコンピューターに指示(コマンド)を送ったり、制御(コントロール)を行う攻撃側のサーバー(コンピューターまたはアプリケーション)。通信手段としてはインスタントメッセンジャーのようなIRC(Internet Relay Chat)が用いられる場合が多い。

なるほどわからんIRCはタイヤメーカでしょ。

www.irc-tire.com

感染経路

感覚論でしかないが、今は3分の2くらいhttp(https)のようだ。その理由について過去問(H26春FE午前問44)では、次のように述べられている。
「Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い」

んまー、ポート80なんてまず開いているしなぁ。あとは怪しいメールの添付ファイル開きましたとか多そう。

 

不特定多数型攻撃

マルウェアを多くのコンピュータに感染させ、それらのコンピューターを束ねることでC&Cサーバにより指示・制御可能なボットネットを構成する。

ボットネットを用いることで、

  1. DDoS攻撃
  2. スパムメール配信
  3. フィッシング詐欺、不正送金の踏み台

を行う。セキュリティ対策を怠ることで他人迷惑をかける可能性があるということ。お宅のから不正送金の疑いがあるトラフィックを検知しましたとかお巡りさん来ちゃうかもしれない。

 

https://eset-info.canon-its.jp/files/user/malware_info/images/term/sa/images/171_1.jpg

https://eset-info.canon-its.jp/files/user/malware_info/images/term/sa/images/171_1.jpg

標的型攻撃

基本的にやることは一緒。標的型とは言っても、標的に対して直接攻撃を行わず、社内ネットワークの標的とつながっているコンピュータを感染させ、指示・命令を行う。 

https://eset-info.canon-its.jp/files/user/malware_info/images/term/sa/images/171_2.jpg

https://eset-info.canon-its.jp/files/user/malware_info/images/term/sa/images/171_2.jpg

 

 対策

被攻撃者からすると、本当の攻撃者であるC&Cサーバは踏み台の攻撃者のボットネットで隠れている(紛れているというよりは、ボットネットの向こう側にいる)。その為、本当の攻撃元の特定が困難。ボットネットによる攻撃を停止するには、ボットの特定ではなく、C&Cサーバの特定が必要。

 別に如何わしいサイト見ないから大丈夫っしょ、なんて思っていてもドンキホーテの事もあるからなぁ。どっから感染するか本当にわからん。

news.mynavi.jp

 

 

 

 参考

C&Cサーバーとは | セキュリティ用語解説 | 日立ソリューションズの情報セキュリティブログ

C&Cサーバー | マルウェア情報局

C&Cサーバ : 情報セキュリティスペシャリスト(情報処理安全確保支援士) - SE娘の剣 -

ボットネットとは何か? どうやって防ぐのか? | マルウェア情報局

EvernoteをC&Cサーバとして利用する手口とは | トレンドマイクロ:セキュリティ情報

【セキュリティ ニュース】警察庁、2015年にC&Cサーバ48台をテイクダウン(1ページ目 / 全1ページ):Security NEXT

 

 

結局ZDNetの記事全然読めてない。

ボットネットもまとめよかな。