Los ciberdelincuentes utilizan numerosas fórmulas para robar datos confidenciales durante un ciberataque. Una de ellas es la infraestructura “Comando y control”, que consiste en un conjunto de herramientas y técnicas que emplean, tras la intrusión inicial, para enviar instrucciones a los sistemas comprometidos y tenerlos bajo su dominio. Y es que un ciberataque exitoso no es aquel que consigue introducirse en el sistema de una organización desprevenida, sino el que permite al atacante mantener un virus persistente en el entorno del objetivo, intercambiar datos con los dispositivos infectados dentro de la red y hacerse con datos sensibles. Todas estas tareas requieren una sólida infraestructura de comando y control o C2 que permita a los ciberdelincuentes emplear canales de comunicación encubiertos a la hora de perpetrar sus ataques.
Para comunicarse con sus víctimas sin ser detectados, se sirven de diferentes técnicas. Desde protocolos de capa de aplicación OSI-asociados a protocolos web, de transferencia de archivos, de correo, de suscripción o del Sistema de Nombres de Dominio-, a medios extraíbles o la inyección de contenido malicioso a través del tráfico de red en línea. También pueden disfrazar sus llamadas utilizando cifrados o tipos no estándar de cifrado de datos.
Para complicar el descifrado del contenido del tráfico de comando y control y hacer la comunicación menos visible, los ciberdelincuentes pueden también ocultar información, añadiendo datos basura, usando esteganografía o suplantando protocolos legítimos de servicios web, o establecer conexiones dinámicas mediante malware que comparte un algoritmo común con la infraestructura que el atacante utiliza para recibir sus comunicaciones.
Asimismo, si el canal principal está comprometido o es inaccesible para mantener un comando y control confiables y evitar umbrales de transferencia de datos, los atacantes pueden servirse de canales de comunicación alternativos o de respaldo, o manipular directamente el tráfico de red.
La matriz Mitre ATT&CK enumera hasta 18 técnicas de mando y control diferentes, cada una con diferentes subtécnicas. Puedes consultarlas todas aquí.
Es importante tener en cuenta que el tráfico de C2 es muy complejo de detectar. Sin embargo, se pueden tomar medidas que ayuden a bloquear o detener su ataque como supervisar y filtrar el tráfico de la red, utilizar firewalls con filtros de salida estrictos, emplear sistemas de detección de intrusos, prestar atención a las balizas y realizar controles.
