Ciberataques de comando y control: cómo identificarlos y prevenirlos
El Command and Control Attack es un tipo de ataque cibernético en el que un pirata informático controla la PC de un individuo y la usa para inyectar malware en otras computadoras conectadas a la misma red para crear un ejército de bots.El Ciberataque de Comando y Control se abrevia brevemente como C2 o C&C.Para realizar un ataque C&C en un nivel avanzado, los piratas informáticos generalmente intentan controlar toda la red a través de la cual las computadoras de una organización están conectadas entre sí para que todas las computadoras en una red puedan infectarse y crear un ejército de bots.En este artículo, hablaremos sobre los ataques cibernéticos de comando y control y cómo puede identificarlos y prevenirlos.
Un ataque C2 o C&C incluye el conjunto de herramientas y técnicas que los piratas informáticos utilizan para comunicarse con los dispositivos comprometidos con el fin de dar las instrucciones para propagar la infección.En un Ciberataque de Comando y Control, puede existir uno o más de un canal de comunicación entre la PC de una víctima o una organización y la plataforma que controla un hacker.El atacante utiliza estos canales de comunicación para transferir instrucciones a los dispositivos comprometidos.DNS es un canal de comunicación ampliamente utilizado para un ataque C2.
Antes de hablar más sobre el ataque cibernético de comando y control, hay algunos términos relacionados con el ataque de C&C que debe conocer.
Un zombi es una computadora o un dispositivo que ha sido infectado por el atacante con algún tipo de virus o malware.Después de transformar una computadora saludable en un zombi, el atacante puede controlarla de forma remota sin el conocimiento o consentimiento de su propietario.En una infraestructura C2, el malware o los virus que utiliza un pirata informático para infectar una computadora en particular abre un camino para que el pirata informático envíe instrucciones a la computadora infectada.Esta es una vía bidireccional, lo que significa que el atacante puede enviar instrucciones a la computadora infectada y también descargar el contenido de la computadora infectada.
Los dispositivos infectados en una infraestructura C2 o C&C se denominan zombis porque el atacante utiliza estos dispositivos para infectar otras computadoras en buen estado en una red en particular.Después de ser infectados, estos equipos funcionan de la misma manera que los zombis que se muestran en las películas de ficción o de terror de Hollywood.
Una botnet es un ejército de computadoras infectadas.En una infraestructura C2, cuando una computadora está infectada, la infección se transfiere a otra computadora conectada a la red.El mismo proceso se repite para infectar otras computadoras en la misma red para crear un ejército de bots.Este ejército de bots (ordenadores infectados) se conoce como botnet.Un hacker puede usar una botnet para diferentes ataques cibernéticos, como un ataque DDoS.Además de esto, un hacker también puede vender botnets a otros ciberdelincuentes.
La señalización es el proceso a través del cual el malware en la computadora infectada se comunica con el servidor C&C para recibir instrucciones del pirata informático y enviar datos desde el dispositivo infectado al pirata informático.
El objetivo del atacante es entrar en el sistema de destino.Puede hacer esto instalando un virus o malware en el sistema host.Después de infectar el sistema del host con un virus o malware, puede tener control total sobre él.Hay muchas formas en que un pirata informático puede inyectar malware en la computadora de un usuario.Uno de los métodos populares es enviar un correo electrónico de phishing.Un correo electrónico de phishing contiene un enlace malicioso.Este enlace malicioso puede llevar al usuario al sitio web malicioso o indicarle que instale un software en particular.
El software contiene código malicioso escrito por el hacker.Al instalar este software, el malware ingresa a su computadora.Este malware luego comienza a enviar datos desde la computadora infectada al atacante sin el consentimiento del usuario.Estos datos pueden contener información confidencial como información de tarjetas de crédito, contraseñas, etc.
En una infraestructura de comando y control, el malware en el sistema del host envía un comando al servidor host.Las rutas de transmisión seleccionadas para este propósito generalmente son confiables y no se controlan de cerca.Un ejemplo de esta ruta es el DNS.Una vez que el malware logra enviar el comando al servidor host, la computadora del host se transforma en un zombi y queda bajo el control del atacante.Luego, el atacante usa la computadora infectada para transmitir la infección a otras computadoras para que se cree un ejército de bots o botnet.
Además de robar los datos del usuario, un hacker puede usar una botnet para varios propósitos, como:
Los servidores de Comando y Control son las máquinas centralizadas que son capaces de enviar instrucciones o comandos a las máquinas que forman parte de una botnet y recibir la salida de la misma.Hay varias topologías utilizadas en los servidores de comando y control de Botnet.Algunas de estas topologías se explican a continuación:
Lea: Evite la banca en línea y otros fraudes cibernéticos
Puede identificar el Ciberataque de Comando y Control con la ayuda de archivos de registro.
Después de recopilar la información de varios archivos de registro, puede buscar la siguiente información en los archivos de registro para confirmar si se ha producido un ataque de C&C.
Lea: artículo sobre seguridad en Internet y consejos para usuarios de Windows.
Ahora, hablemos de algunas formas en las que puede prevenir los ataques cibernéticos de comando y control.
Primero, vea las formas en que las organizaciones o los administradores de sistemas pueden prevenir los ataques cibernéticos de comando y control.
Lo primero que deben hacer las organizaciones es brindar capacitación de concientización a todos los empleados para que puedan saber qué es un ataque de Comando y Control y cómo se puede hacer.Esto minimizará la posibilidad de que un atacante piratee un sistema.Al proporcionar la capacitación adecuada a sus empleados, puede reducir el riesgo de un ataque de C&C.
En la mayoría de los casos, los Ciberataques de Comando y Control se realizan a través de una red.Por lo tanto, es necesario monitorear el flujo de tráfico en su red.Mientras monitorea su red, debe estar atento a las actividades sospechosas que se realizan en su red, como:
La autenticación de dos factores agrega una capa de seguridad adicional.Por lo tanto, es una excelente manera de proteger sus cuentas de usuario.Sin embargo, los atacantes también pueden pasar por alto la autenticación de dos factores, pero no es tan fácil como parece.
Limitar los permisos de los usuarios puede ser un buen paso para proteger sus sistemas de los ataques cibernéticos de comando y control.Asigne a sus empleados solo los permisos requeridos por ellos para hacer su trabajo y no más que eso.
Veamos algunos consejos de seguridad para que los usuarios prevengan los Ciberataques de Comando y Control.
Hemos descrito anteriormente en este artículo que los atacantes pueden ingresar a la computadora del host de muchas maneras.Una de estas formas son los correos electrónicos de phishing que contienen enlaces maliciosos.Una vez que haga clic en estos enlaces, será redirigido a un sitio web malicioso, o el malware se descargará e instalará en su sistema automáticamente.Por lo tanto, para estar más seguro, nunca haga clic en los enlaces que provienen de correos electrónicos que no son de confianza.
No abra los archivos adjuntos de correo electrónico a menos que sepa quién es el remitente.Algunos clientes de correo electrónico, como Gmail, tienen una función de escaneo de archivos adjuntos de correo electrónico.Pero a veces esta función no funciona en algunos archivos adjuntos de correo electrónico en particular.En tal caso, si no conoce el remitente del correo electrónico, será mejor que no abra dichos correos electrónicos.
Cerrar sesión en todas las cuentas después de terminar de trabajar en una computadora es una buena práctica para prevenir todo tipo de ciberataques.Además, puede configurar su navegador, como Firefox, Chrome, Edge, etc., para borrar las cookies automáticamente al salir.
Instale siempre un buen antivirus en su sistema.Algunos antivirus también ofrecen una función de análisis de correo electrónico.Será mejor si tiene un presupuesto para comprar un paquete de seguridad completo que ofrezca varias funciones como escaneo de correo electrónico, alerta de violación de datos, protección contra ransomware, protección de cámara web, etc.También puede instalar un buen cortafuegos.
Siempre se recomienda crear contraseñas seguras.Las contraseñas son sensibles a las mayúsculas.Por lo tanto, cree una contraseña con una combinación de caracteres especiales, letras minúsculas y mayúsculas y números.También puede usar generadores de contraseñas gratuitos para generar contraseñas seguras y únicas.
Se recomienda mantener un sistema actualizado porque con cada actualización, el desarrollador lanza los últimos parches de seguridad.Estos parches de seguridad ayudan a proteger su sistema de las ciberamenazas.
Lea: Robo de identidad en línea: prevención y protección.
Los siguientes son algunos síntomas que su sistema mostrará si está comprometido.
Lea:Cómo mantenerse seguro en las computadoras públicas.
Para prevenir las amenazas cibernéticas, puede hacer algunas cosas necesarias, como cerrar sesión en todas sus cuentas cada vez que termine su trabajo, borrar las cookies de su navegador web al salir, instalar un buen antivirus y firewall, crear contraseñas seguras, etc.
Eso es todo.
Lea a continuación: ¿Qué es el secuestro de sesión y cómo prevenirlo?
Microsoft lanzó el sistema operativo Windows 11 de próxima generación en el último mes de…
Parece que algunos de los desafortunados usuarios de Windows encuentran el error "No se encontró…
Windows tiene una utilidad incorporada llamada System File Checker o SFC que escanea todo el…
El sistema operativo Windows es la plataforma más popular para fines educativos y laborales que…
REVISIÓN 2: Realice una restauración del sistema:REVISIÓN 3: Ejecute el Comprobador de archivos del sistema:REVISIÓN…
El Nitro 5 es un portátil para juegos voluminoso de 2,4 kg, como es típico…