malware command&control

Cosa sono e come si diffondono i malware con i server Command&Control

I cybercriminali usano i server Command&Control per diffondere malware che infettano i PC e controllare la propria botnet, una rete di dispositivi infetti e pronti a usi malevoli: come funzionano e come difendersi
Cosa sono e come si diffondono i malware con i server Command&Control FASTWEB S.p.A.

Scaricare un aggiornamento da Internet, aprire l’allegato di una e-mail sospetta o fare clic su un link sono tutte azioni semplici ma che, per gli utenti, possono rappresentare gravi minacce alla propria sicurezza informatica: dietro all’update e al file allegato potrebbero infatti nascondersi virus pronti a infettare il dispositivo, come malware e ransomware.

Tra i metodi utilizzati dagli hacker per distribuire i malware c’è l’uso di uno o più server Command&Control, anche detti “C2” o “C&C”.

I cybercriminali usano i server C&C per distribuire di nascosto malware che infettano i dispositivi connessi a Internet creando così una rete di device infetti, detta botnet, di cui potranno prendere il controllo e a cui far eseguire i propri comandi. Una volta creata la botnet, gli hacker potranno usarla per mettere a segno attacchi informatici e diffondere qualsiasi tipo di virus, come i ransomware. Questa è proprio la tecnica utilizzata dai cybercriminali che nel 2017 hanno diffuso il ransomware WannaCry, che colpì, tra l’altro, i computer di servizi pubblici come gli ospedali, bloccandone il contenuto in cambio di un riscatto da pagare in bitcoin. Per questo motivo è importante sapere cos’è e come funziona un malware Command&Control, ma soprattutto cosa fare nel caso il proprio computer sia stato infettato e sia entrato nella botnet dei cybercriminali, che potrebbero utilizzarlo per scopi malevoli.

Command&Control: cos’è e come funziona

malware command&controlGli attacchi Command&Control iniziano con un primo malware che infetta un dispositivo, ad esempio sfruttando la vulnerabilità di una estensione del browser inducendo l’utente a scaricare un software infetto che sembra innocuo. O ancora, attraverso attacchi di phishing via e-mail, chiedendo al malcapitato di scaricare un allegato che in realtà contiene del codice malevolo, oppure di fare clic su un link a un sito web che farà partire in automatico il download del virus.

Se riesce a superare il primo ostacolo, cioè l’eventuale antivirus presente sul dispositivo, il malware invia un segnale al server host così che, attraverso il programma stesso, l’hacker possa prendere il controllo del dispositivo.

Un procedimento analogo a quello che effettuano dei tecnici che si collegano da remoto ad un device quando è necessario un supporto a distanza, ma con finalità decisamente meno lecite e soprattutto dannose. Il computer diventa così un “bot”, che sta per “robot”, a volte chiamato anche “zombie”, cioè una pedina nelle mani del cybercriminale. L’hacker, attraverso il proprio server C&C, potrà così ordinare al dispositivo infettato di replicare e diffondere il malware che lo ha colpito in altri dispositivi connessi ad esso attraverso Internet, creando così una rete di deviceinfetti detta botnet. L’intera rete di dispositivi così creata sarà nelle mani dei cybercriminali, che potranno utilizzarla per attacchi informatici di diverso tipo: dal furto di database contenenti informazioni di vario tipo fino ad attacchi DDoS, in cui tutti i device della botnet sommergono un particolare server o sito web di ripetute richieste di connessione, facendolo in tal modo crashare.

Server C&C: come sono strutturati

malware command&controlSe fino a qualche anno fa i server Command&Control erano ospitati in macchine fisiche sottoposte a un diretto controllo dei cybercriminali, oggi, sempre più spesso, il server principale viene ospitato in una soluzione cloud. Le strutture a disposizione degli hacker per la creazione delle reti di device zombie (le suddette botnet) e il loro controllo sono diverse:

  • topologia a stella: un server C&C centrale invia comandi a ogni bot che fa parte della botnet. Questa struttura assicura una comunicazione affidabile e a bassa latenza (ovvero tempi di risposta rapidi), ma è molto facile da disabilitare perché è sufficiente mettere offline il server centrale per rendere la botnet inutilizzabile
  • topologia multi-server: si tratta di una struttura simile a quella a stella, ma dove il “server centrale” è costituito da una serie di server interconnessi tra di loro. La configurazione e la gestione dei server sarà sicuramente più complessa e la latenza maggiore rispetto caso precedente, ma garantirà maggiore resistenza ai tentativi di disabilitazione della botnet
  • topologia gerarchica: i server C&C sono organizzati in modo gerarchico e piramidale, così da dividere la rete in più botnet separate, che potranno all’occorrenza essere rivendute o noleggiate. Questo fa ovviamente aumentare la latenza del sistema, perché i comandi dovranno viaggiare tra diversi bot in ordine gerarchico prima di arrivare a destinazione.

 

Come difendersi dagli attacchi Command&Control

malware command&controlUn modo efficace per difendersi dagli attacchi Command&Control è quello di scollegare i dispositivi infettati da Internet, così da impedire agli hacker di accedere da remoto alla botnet e diffondere altri virus. Una volta isolato il device, che si tratti di un PC o di uno smartphone, si potrà eseguire una scansione antivirus approfondita così da individuare la presenza di malware ed eliminarli. Se l’antivirus non fosse in grado di eliminare il malware, sarà necessario procedere a una formattazione del dispositivo, anche con l’aiuto di un tecnico specializzato. Come per tutte le minacce alla sicurezza e privacy di un utente, prevenire è spesso la miglior soluzione.

Per questo motivo, è importante seguire le regole di una navigazione sicura in Internet, oltre che utilizzare un buon antivirus e aggiornarlo frequentemente.

Gli utenti dovranno tenere sempre aggiornato il sistema operativo e i vari programmi che sono installati, così da poter contare sulle patch di sicurezza più recenti e in grado di preservare i dispositivi anche dai nuovi malware in circolazione. Altro consiglio riguarda la gestione delle e-mail ricevute da mittenti sconosciuti e sospetti. Se l’indirizzo non è tra quelli noti, se il testo della mail presenta errori di ortografia o se si riceve un testo ambiguo da un proprio contatto noto, è bene non aprire gli allegati e non fare clic su link sospetti. Infine, l’utilizzo di un software antivirus che possa monitorare e proteggere non solo PC e smartphone, ma anche gli altri device della smart home presenti in casa. I malware di questo tipo, infatti, possono inserire nella botnet qualsiasi dispositivo connesso a Internet: dal proprio smart display alle telecamere di videosorveglianza connesse al Wi-Fi.

Copyright CULTUR-E
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail