Command-and-control server (C&C-server)

Een command-and-control server (C&C-server) is een computer die instructies geeft aan digitale apparaten die zijn geïnfecteerd met rootkits of andere vormen van malware, zoals ransomware. C&C-servers kunnen worden gebruikt om krachtige netwerken van geïnfecteerde apparaten te creëren die in staat zijn om gedistribueerde DDoS-aanvallen (Distributed Denial-of-Service) uit te voeren, gegevens te stelen, te wissen of te versleutelen om zo een afpersingsconstructie uit te voeren. Vroeger stond een C&C-server vaak onder de fysieke controle van een aanvaller en kon enkele jaren actief blijven. Tegenwoordig hebben C&C-servers over het algemeen een korte houdbaarheidsdatum; ze bevinden zich vaak in legitieme cloudservices en maken gebruik van geautomatiseerde domeingeneratiealgoritmen (DGA's) om het voor rechtshandhavingsinstanties en white hat-malwarejagers moeilijker te maken ze te lokaliseren. 

Een kwaadaardig netwerk onder controle van een C&C-server wordt een botnet genoemd en de netwerkknooppunten die tot het botnet behoren, worden ook wel zombies genoemd.In een traditioneel botnet zijn de bots besmet met een Trojaans paard en gebruiken ze Internet Relay Chat (IRC) om te communiceren met een centrale C&C server. Deze botnets werden vaak gebruikt voor het verspreiden van spam of malware en het verzamelen van ontvreemde informatie, zoals creditcardnummers. 

Populaire botnet topologieën zijn:

  • Stertopologie - de bots zijn georganiseerd rond een centrale server.
  • Multi-server topologie - er zijn meerdere C&C servers voor redundantie.
  • Hiërarchische topologie - meerdere C&C-servers zijn georganiseerd in gelaagde groepen.
  • Random topologie - gecoöpteerde computers communiceren als een peer-to-peer botnet (P2P botnet).

Sinds IRC communicatie typisch werd gebruikt om botnets aan te sturen, wordt er vaak tegen gewaakt. Dit heeft geleid tot het streven naar meer heimelijke manieren voor C&C-servers om commando's te geven. Alternatieve kanalen voor botnetcommando's zijn onder meer JPG-afbeeldingen, Microsoft Word-bestanden en berichten van dummy-accounts op LinkedIn of Twitter.

Lees meer over botnetcommando's en -controle in deze video: