¿Qué es c2 command and control?

La mayoría de las amenazas necesitan conectarse a un entorno fuera de la organización, donde poder comunicarse con los operadores de estas amenazas (Threat Actors) para recibir instrucciones, exfiltrar información, etc. Estas comunicaciones de manera general no son contra los entornos finales de estos actores, sino que son hacia servidores que controlan, centralizan la información y realizan las acciones necesarias. Estos servidores se conocen como servidores Command and Control, C&C o C2.

Es importante destacar que estos servidores C2 no tienen una forma única de intercomunicación con los “agentes” a los que pueda estar comunicándose, ya que se apoyan en diferentes protocolos, algoritmos de cifrado e incluso utilizando aplicaciones legítimas para comunicarse, sin llamar la atención a los usuarios comprometidos o a los equipos de seguridad.

Identificar si en el perímetro de tu organización existen conexiones cuyo origen o destino son servidores catalogados como C2 es una forma de detectar compromisos en tu entorno, para lo cual es necesario disponer de una base de conocimiento alimentada por servicios especializados en recopilar indicadores de compromiso (IOCs) a la que consultar las conexiones de tu entorno para que busque coincidencias con estos listados.