Les serveurs de Commande et de Contrôle, plus communément désignés sous les termes C2 ou C&C, constituent une pierre angulaire dans l’arsenal des cybercriminels. Ces serveurs facilitent une communication presque invisible avec les appareils compromis au sein d’un réseau ciblé, jouant un rôle crucial dans la gestion à distance des attaques numériques. Leur capacité à transmettre discrètement des ordres et à orchestrer le vol de données positionne les serveurs C2 comme des vecteurs d’attaque sophistiqués et dangereusement efficaces.

De nos jours, tous les malwares qui pénètrent un réseau par divers moyens (phishing, brute force de credentials ou vol d’identifiants) font des callbacks vers un serveur C2 pour prendre des indstructions, télécharger des composants additionels ou pour exfiltrer des données.

Dans le framework MITRE ATT&CK, l’implication des serveurs C2 à différentes étapes de l’attaque, est une des stratégies les plus courantes.

Quelles sont les fonctionnalités étendues des serveurs C2 : 

Orchestration d’attaques complexes :

Les serveurs C2 ne se limitent pas à la coordination de simples attaques par phishing. Ils orchestrent des campagnes malveillantes à grande échelle, exploitant des vulnérabilités systémiques et humaines pour infiltrer et compromettre les réseaux. Ces attaques peuvent être diversifiées, allant du déploiement de ransomware à la réalisation d’espionnage industriel, témoignant de leur polyvalence et de leur dangerosité. En cas d’attaque type DDoS (ou Distributed Denial of Service), les serveurs C2 jouent le rôle de chef d’orchestre ou cerveau pour les machines faisant partie du réseau zombie.

Transmission d’ordres ciblés :

La sophistication des serveurs C2 leur permet de transmettre des ordres spécifiques à des appareils infectés, orchestrant des actions qui vont bien au-delà de la simple collecte d’informations. Ils peuvent modifier les configurations système, déployer des logiciels supplémentaires malveillants, ou même prendre le contrôle total des appareils à des fins malveillantes.
Mises à jour et maintenance à distance : Outre la distribution de logiciels malveillants, les serveurs C2 peuvent envoyer des mises à jour pour les malwares existants, augmentant leur efficacité ou les camouflant davantage contre les logiciels antivirus. Cette capacité à maintenir et à mettre à jour les infections à distance rend les serveurs C2 particulièrement redoutables.

Techniques de camouflage avancées :

Les serveurs C2 utilisent des méthodes sophistiquées pour rester indétectables, y compris le recours à des techniques de chiffrement de pointe et l’utilisation de réseaux anonymes. Cette invisibilité permet aux attaquants de rester actifs dans un réseau ciblé pendant de longues périodes, collectant des données et exécutant des commandes sans être détectés. Enfin, ces serveurs peuvent régulièrement changer de domaine et d’adresse IP, rendant leur détection complexe.

Quelques exemples :

Le malware CustomerLoader utilise les serveurs C2 pour télécharger des payloads avancés de compromission.

L’infostealer StealC génère les URLs de ses serveurs C2 de manière totalement aléatoire et continue, rendant leur suivi très difficile.

Statistiques et tendances :

A ce jour, nous ne pouvons pas affirmer le nombre de serveurs actifs cependant le site https://urlhaus.abuse.ch/browse/page/2/ recense près de 3 millions d’URLs malicieuses. L’évolution constante des serveurs C2 et leur capacité à changer fréquemment de domaines soulignent une réalité alarmante : la cybercriminalité est en perpétuelle mutation, rendant la tâche de défense d’autant plus complexe. Les statistiques disponibles, bien que représentant une fraction de l’ampleur réelle du problème, indiquent clairement que les URLs malveillantes se comptent par millions, chaque serveur C2 ayant le potentiel d’infecter et de contrôler des centaines, voire des milliers, d’appareils.

Selon le groupe Akamai, entre 10 et 15% des entreprises en 2022 ont eu un trafic web lié à une communication avec des serveurs C2.

Néanmoins, ce nombre de machines infectées nous permet de mesurer l’ampleur d’une menace, il n’est donc pas à négliger en cas d’attaques.

Pour détecter les signes avant-coureurs d’une attaque impliquant un appel vers des serveurs C2, il est important de surveiller le trafic réseau, car le volume et la destination du trafic réseau généré par les machines infectées et dirigé vers le serveur Command & Control peut être significatif. Ce trafic inhabituel peut être utilisé pour identifier et détecter les activités malveillantes.

La plupart des malwares sérieux de nos jours sont exécutés via des serveurs Command & Control cependant, il existe différents frameworks permettant aux organisations de comprendre les méthodes des attaquants afin d’être le plus réactif possible.

Défense proactive contre les serveurs C2 :

Face à cette menace insidieuse, la surveillance du trafic réseau s’avère être une première ligne de défense essentielle. Identifier les communications anormales avec les serveurs C2 permet une détection précoce des infections. Le cadre MITRE ATT&CK et d’autres outils stratégiques offrent aux organisations les moyens de comprendre les tactiques des adversaires et de développer des réponses adaptées pour protéger leurs infrastructures critiques.

Si nos pairs ont pu définir des bases de connaissances permettant d’augmenter nos capacités de défenses face aux attaques utilisant les serveurs Command & Control, c’est que le nombre de ces attaques est effectivement significatif. 

Olfeo : Une réponse à la menace C2 :

Dans ce contexte, Olfeo se distingue par son approche proactive de la cybersécurité. En bloquant l’accès à des domaines inconnus et potentiellement malveillants, Olfeo crée un environnement numérique sécurisé, empêchant les communications malveillantes dès leur tentative initiale.

La technologie Trust-Centric d’Olfeo, alliée à une base de données continuellement enrichie par l’intelligence artificielle et une équipe dédiée, assure une navigation sûre tout en facilitant l’accès aux ressources légitimes nécessaires aux opérations quotidiennes des entreprises. Cette approche permet notamment de résoudre la problématique de détection des serveurs C2 dont les domaines peuvent changer régulièrement.

Conclusion :

L’omniprésence et la sophistication croissante des serveurs de Commande et de Contrôle représentent un défi majeur pour la sécurité numérique mondiale. Toutefois, l’adoption de stratégies de défense avancées, combinée à des solutions de cybersécurité innovantes comme celles proposées par Olfeo, offre une solution efficace. En interrompant les chaînes de communication malveillantes et en empêchant l’exploitation des vulnérabilités, nous pouvons non seulement détecter mais aussi neutraliser les menaces posées par les serveurs C2, protégeant ainsi les infrastructures critiques et les données sensibles contre les acteurs malveillants.