Entry № 226
コマンド&コントロール(C2)
コマンド&コントロール(C2) とは何ですか?
コマンド&コントロール(C2)攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
コマンド&コントロール(C2 / C&C)とは、初期侵害後に攻撃者が植え込んだマルウェアを操るためのサーバ、プロトコル、通信パターンの総称である。C2 チャネルは指令の配信、窃取データの回収、新たなペイロードの配布、複数ホストの作戦調整などに用いられる。運用者は HTTP(S)、DNS トンネリング、メッセージングアプリ、SNS アカウント、クラウド API、正規 SaaS を混入させて目立たないようにし、ドメイン生成アルゴリズム(DGA)、ファストフラックス DNS、リダイレクタ、暗号化通信などで回復性を高める。対策としては、外向き通信のフィルタリング、DNS 分析、合法的な範囲での TLS インスペクション、NDR、テイクダウンやシンクホールによる C2 の遮断などが挙げられる。
● 例
- 01
Cobalt Strike Beacon の HTTPS・DNS・SMB パイプ C2 チャネル。
- 02
毎日数百の擬似ランダム C2 ドメインを生成する Conficker の DGA。
● よくある質問
コマンド&コントロール(C2) とは何ですか?
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。 サイバーセキュリティの マルウェア カテゴリに属します。
コマンド&コントロール(C2) とはどういう意味ですか?
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
コマンド&コントロール(C2) からどのように防御しますか?
コマンド&コントロール(C2) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
コマンド&コントロール(C2) の別名は何ですか?
一般的な別名: C2, C&C, コマンド&コントロールサーバ。