[セキュリティ 用語集 トップへ]
C&Cサーバとは
C&Cサーバとは何か
C&Cサーバとはシステムに侵入した不正プログラム(マルウェア)に指示を送り不正な動作を行わさせるインターネット上のサーバのこと。
C&Cは"Command and Control サーバ"の略称。
企業や個人PCに忍び込んだマルウェア(それ以外にRAT、ウィルスなどに対しても)指令を行うサーバを指す。通常はこのような通信はFirewallなどでブロックされるため通信できない。
そこで例えば通常のWebアクセス(http通信)を偽装して C&C サーバに接続し、応答コードとして動作の指示を受ける。PC内のファイルを検索し、重要そうなファイルをhttp通信を偽装してアップロードする。
なぜC&Cサーバを使うのか
C&Cサーバはなぜ必用なのか?それはシステムに侵入したマルウェアが次に何をするのか独自では判断できないからである。
マルウェアはシステムに侵入した後、その機器の情報は近隣のIT機器、そのIT機器上に存在するファイルの一覧などをC&Cサーバに送信する。
C&Cサーバはこのマルウェアを仕込んだ攻撃者が操作しており、これらの情報から次の動作を判断する。例えば「次はこのIT機器に侵入しろ、このファイルを盗み出せ」などの指示をマルウェアに送信する
古くからあるウィルスは人間の指示を受けないため高度なことはできない。かたっぱしからシステムを破損させるくらいである。それではすぐに検知されてしまう。
一方でマルウェアは誰にも気が付かれないようにこっそり活動する。そのために実際の人間から指示を受けて動作する必用がある。その指示を行うのがC&Cサーバである。
どのようにしてC&Cサーバと通信するのか
ここで大きな疑問があると思う。インターネットからどのようにしてマルウェアに指示を送るのだろうか。
とうぜん組織ではFirewall や IPレピュテーションなどのセキュリティシステムで外部から通信をブロックしているはずである。
もちろんインターネットからインバウンドで通信を拾って動作しているのではない。マルウェア側から外部にHTTP/HTTPS通信で接続し、指示書を読み込みその通り動いているのである。
これは単なるWeb通信に見えるため検出しにくい。マルウェアはどうどうと Proxy やFirewall を経由して C&Cサーバと通信しているのである。
これを検出するにはブラックリストを常に更新し、そのブラックリストと通信を行っていないか検出する必要がある。これはURLレピュテーションやIPレピュテーションと呼ぶ。
また動作ログからSIEMによる解析で検出することもある。
カテゴリ:標的型攻撃
[セキュリティ 用語集 トップへ]
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2014 - 2017