هجوم القيادة والسيطرة Command and Control Attack (C2)

ما هو هجوم القيادة والسيطرة؟

هو نوع من الهجمات السيبرانية تتضمن أدوات خبيثة للاتصال مع حاسوب أو شبكة وإصابتها والتحكم فيها، للحفاظ على أطول زمن اتصال بالأجهزة المخترقة بعد تطبيق الهجوم الأولي.

كيف يحدث هجوم القيادة والسيطرة؟

لتحقيق هجوم القيادة والسيطرة:

1. يقوم المتسلل بدايةً بإصابة الحاسوب المستهدف أو الشبكة بشيفرات برمجية ضارة عبر إحدى الهجمات الإلكترونية، مثل التصيد الاحتيالي أو الهندسة الاجتماعية.
2. يُطلق على الحاسوب أو الجهاز المصاب اسم حاسوب الزومبي، بحيث يقيم البرنامج الضار اتصالات مع خادم المهاجم ويصبح جاهزاً لتلقي الأوامر من الخادم المتحكم به.
3. يمكن للمتسلل تثبيت برامج ضارة إضافية من خلال القناة بين الحاسوب المصاب والمتحكم، واستخراج البيانات، ونشر العدوى إلى موارد الشبكة الإضافية.

كيف تكتشف هجوم القيادة والسيطرة؟

بالنسبة لهذه الأنواع من الهجمات، تكون الشركات مستهدفة أكثر من الأفراد، إذ يمكن مراقبة نشاط الشركة من خلال ما يلي:

• مراقبة حركة البيانات: على الرغم من أنك قد لا تكون قادراً على تحليل جميع حركة البيانات كجزء من استراتيجية أمن البيانات، في المقابل يمكنك البحث عن عمليات تبادل بيانات كبيرة بشكل غير معهود أو حركة مرور غير مصرح بها.
• استفسارات نظام أسماء النطاقات: نظراً لأن قنوات الهجوم غالباً ما تتنكر عن طريق التماهي مع حركة المرور المشروعة لنظام أسماء النطاقات، فإن التحقق من استفسارات نظام أسماء النطاقات بحثاً عن الشذوذ قد يكشف أيضاً عن حركة المرور الضارة.
• البحث عن الشذوذ: قد يشير الشذوذ في حركة المرور على الشبكة إلى وجود حاسوب مصاب أو أفعال مسيئة.
• التحقق من التشفير: قد تستخدم البرامج الضارة التشفير لإخفاء تسريب البيانات، لذلك يجب إعداد فحوصات لمراقبة الاستخدام غير المصرح به للتشفير في حركة مرور الشبكة.