I et forsøg på at forbedre sin angrebsinfrastruktur har QBot-malwaren, også anerkendt som QakBot, etableret femten ekstra kommando-og-kontrol-servere i slutningen af juni.
QBot opererer ved hjælp af en sofistikeret hierarkisk C2-netværksstruktur, der letter kommunikationen mellem C2-noder og Tier 2 C2-noder. I begyndelsen af juni var der dog en betydelig reduktion i antallet af aktivt kommunikerende C2'er til QBot, især de USA-baserede C2'er, på grund af nul-routing-indsats udført af Black Lotus Labs i maj. Disse handlinger blev dokumenteret i en rapport fra Team Cymru.
På trods af disse tilbageslag blev igangværende operationelle aktiviteter observeret i juli. Seks QBot C2-servere, som var blevet sat op før juni, fortsatte med at udvise aktivitet sammen med to yderligere servere, der startede driften i juni. Især blev tilfælde af høje indgående bot C2-forbindelser fundet i overensstemmelse med øgede udgående Tier 2-forbindelser. Omvendt, når bot C2-aktivitet steg, syntes udgående Tier 2-forbindelser at falde.
Team Cymru gav indsigt i konsekvenserne af QakBots strategi. Ved at anvende kompromitterede ofre som C2-infrastruktur med Tier 2-kommunikation pålægger QakBot brugerne en dobbelt byrde. Den første påvirkning opstår under det indledende kompromis, mens den anden opstår fra den potentielle risiko for værtens omdømme, da den kan blive offentligt forbundet med ondsindede aktiviteter.
Hvad er en hierarkisk C2-netværksstruktur?
En hierarkisk Command and Control (C2) netværksstruktur, ofte forkortet som C&C eller C2, er et design, der bruges af visse typer malware og botnets til at styre og kontrollere deres operationer. I denne sammenhæng refererer "kommando og kontrol" til kommunikationsinfrastrukturen, hvorigennem ondsindede aktører sender kommandoer til kompromitterede maskiner (bots) og modtager data tilbage fra dem. Denne struktur er analog med den måde, hvorpå et centralt kommandohovedkvarter udsteder instruktioner til underordnede enheder i en militær organisation.
Den hierarkiske C2-netværksstruktur er organiseret i forskellige lag eller niveauer, der hver tjener et specifikt formål med at administrere botnettet eller malware. Hierarkiet er designet til at øge sikkerheden, modstandsdygtigheden og effektiviteten af de ondsindede operationer, hvilket gør det sværere for forsvarere at fjerne hele netværket på én gang. Her er en grundlæggende opdeling af niveauerne:
1. Tier 0 (Top Tier): Dette er det højeste niveau i hierarkiet, ofte bestående af et lille antal servere eller noder, der fungerer som de vigtigste kommandocentre. Disse servere udsteder kommandoer på højt niveau til noder på lavere niveau og styrer den overordnede drift af botnettet.
2. Tier 1 (Intermediate Tier): Dette lag omfatter et større antal noder, der er ansvarlige for at distribuere kommandoer fra Tier 0 noderne til de lavere niveauer. De hjælper med at afbalancere belastningen og fordele kontrolopgaverne til bots mere effektivt.
3. Tier 2 (Bot Tier): Det er her de kompromitterede maskiner (bots) befinder sig. Disse maskiner er blevet inficeret med malwaren og er under kontrol af botnettets operatører. Tier 2 noderne modtager kommandoer fra de højere niveauer og udfører de ondsindede aktiviteter, såsom at starte angreb, stjæle data eller udbrede malwaren.
Den hierarkiske C2-struktur hjælper malware-operatører til effektivt at administrere store botnet, udstede kommandoer til forskellige grupper af kompromitterede maskiner og håndtere kommunikationstrafik. Det tilføjer også et lag af kompleksitet til netværket, hvilket gør det mere udfordrende for cybersikkerhedseksperter at lokalisere og neutralisere de centrale kontrolnoder, da angribere hurtigt kan skifte til backup-noder, hvis nogle bliver fjernet.
Det er værd at bemærke, at forsvarere og sikkerhedsforskere arbejder utrætteligt for at identificere og forstyrre C2-infrastrukturen for at afbøde virkningen af malware og botnets. Den hierarkiske C2-netværksstruktur er blot en af de mange taktikker, der bruges af angribere, og dens effektivitet kan variere afhængigt af de ondsindede aktørers færdigheder og ressourcer og de defensive foranstaltninger på plads.
Comments