Ao passo em que atacantes começam a usar múltiplos sistemas de Comando e Controle para comunicar com backdoors e outros malwares, como as empresas podem garantir que vão detectar esses métodos e que todos os sistemas C&C foram removidos, incluindo “sleepers”, desenhados para serem ativados apenas no futuro.

Comando & Controle no mundo dos ciberataques envolve malware chamando um servidor central sob o domínio do atacante para sinalizar sua presença. O servidor pode remotamente controlar esse malware para iniciar um ataque, mantendo um link de comunicação e enviando instruções de execução para dispositivos comprometidos quando desejado.

O Cyber Kill Chain mostra uma modelo de processo usado pelos atacantes para alcançar seus objetivos de comprometimento do sistema e exfiltração de dados sensíveis.

O CKC ocorre em sete estágios: 1 – reconhecimento, 2 – armamento, 3 – entrega, 4 – exploit, 5 – instalação, 6 – comando e controle, 7 – ações. Malware é enviado e instalado nos dispositivos nos estágios 3, 4 e 5, enquanto no estágio 6 o atacante tenta tomar controle do malware e enviar as instruções.

Alguns dos ataques mais sofisticados de hoje passam facilmente pelos estágios 1 a 5, tornando o estágio 6 muito mais fácil de ser alcançado. Além disso, os ataques com frequência envolvem múltiplos servidores de C&C, tornando mais difícil para analistas de segurança e sistemas automatizados detectar e responder nesse estágio do CKC.

Dado que os atacantes estão tão próximos de atingir seus objetivos, o estágio 7, é imperativo que eles sejam interrompidos de conquistar o C&C no estágio 6, o penúltimo. Lembre-se que a segurança não é um produto, mas uma abordagem que envolve tecnologias, processos e pessoas, evitar o C&C deve estar presente nas três partes do tripé.

Não existe um produto único que vai prevenir que um atacante consiga passar pelo estágio 6, o C&C. COmbinações de produtos são necessárias, e é a imagem combinada que vai auxiliar o analista de segurança a identificar uma tentativa de C&C.

Exemplos de produtos incluem monitoramento de tráfego de rede, IPS e IDS, plataformas de Threat Intelligence, ferramentas de análise de comportamento e outros.

Processos e controles de segurança podem incluir a garantia de que usuários, sistemas e dispositivos só tenham acesso para o que elas realmente precisam. Isso ajuda a limitar o que um atacante pode fazer quando obtém credenciais de acesso durante um ataque.

Você também deve estar atento para escaladas de privilégio. Considere investigar uma abordagem de confiança-zero, onde o usuário é requerido a se autenticar para cada aplicação usada, ao invés de ter uma acesso único para toda a rede.

Além disso, realize scans regularmente de redes e sistemas, essa é uma abordagem completa de segurança (tecnologias, processos e pessoas), para encontrar anomalias, até mesmo os sleepers.

Os analistas de segurança são uma camada crucial de pessoas às tecnologias e aos processos. Por exemplo, eles fazem a revisão dos alertas gerados por sistemas automatizados, desenhados para descobrir atividade suspeita que pode indicar malware chamando por um servidor central.

Estamos vendo crescentes levels de automação em segurança de produtos e processos, isso é uma notícia positiva, liberando os analistas para investigar os alertas com mais criticidade, incluindo aqueles que obteram progressos significativo no CKC.

Focar no estágio 6 do CKC reconhece que em alguns casos os estágios 1 a 5 não podem ou não serão resolvidos. Isso indica que as empresas se moveram de uma metodologia de dar check em listas e estão indo em busca de uma abordagem que se preocupa com a cybersecurity e com controles de risco.