Servidor de comando y control (servidor C&C)

Un servidor de comando y control (servidor C&C) es una computadora que emite directivas para dispositivos digitales que se han infectado con rootkits u otros tipos de malware, como ransomware. Los servidores C&C se pueden utilizar para crear poderosas redes de dispositivos infectados capaces de llevar a cabo ataques distribuidos de denegación de servicio (DDoS), robar datos, borrar datos o cifrar datos para llevar a cabo un esquema de extorsión. En el pasado, un servidor de C&C solía estar bajo el control físico de un atacante y podía permanecer activo durante varios años. Hoy en día, los servidores de C&C generalmente tienen una vida útil corta; a menudo residen en servicios legítimos en la nube y utilizan algoritmos de generación de dominios automatizados (DGA) para que sea más difícil para las fuerzas del orden y los cazadores de malware de sombrero blanco localizarlos. 

Una red maliciosa bajo el control de un servidor C&C se denomina botnet y los nodos de red que pertenecen a la botnet a veces se denominan zombis. En una botnet tradicional, los bots están infectados con un caballo de Troya y utilizan Internet Relay Chat (IRC) para comunicarse con un servidor central de C&C. Estas botnets se usaban a menudo para distribuir spam o malware y recopilar información malversada, como números de tarjetas de crédito. 

Las topologías de botnet populares incluyen:

  • Topología en estrella: los bots están organizados alrededor de un servidor central.
  • Topología de varios servidores: hay varios servidores C&C para la redundancia.
  • Topología jerárquica: varios servidores C&C están organizados en grupos por niveles.
  • Topología aleatoria: las computadoras cooptadas se comunican como una botnet de igual a igual (botnet P2P).

Dado que la comunicación IRC se usaba típicamente para controlar botnets, a menudo se protege contra ella. Esto ha motivado el impulso de formas más encubiertas para que los servidores de C&C emitan comandos. Los canales alternativos utilizados para el comando de botnet incluyen imágenes JPG, archivos de Microsoft Word y publicaciones de cuentas ficticias de LinkedIn o Twitter.

Obtenga más información sobre el comando y control de botnets en este video: