Командно-контрольная инфраструктура (C2)

Command and Control (C2 или C&C) — это серверы, протоколы и характерные шаблоны трафика, которые позволяют злоумышленнику управлять внедрённой малварью после первичного взлома. По каналам C2 поступают команды, выгружаются похищенные данные, доставляются новые нагрузки и координируются действия на множестве хостов. Операторы используют HTTP(S), DNS-туннелирование, мессенджеры, аккаунты в соцсетях, облачные API и даже легитимные SaaS-платформы, чтобы маскироваться, а для устойчивости — DGA, fast-flux DNS, редиректоры и шифрование. Защитой служат фильтрация исходящего трафика, аналитика DNS, инспекция TLS (где это законно), NDR и разрушение C2 через takedown или sinkholing.