Definition Command-and-Control Server | C&C-Server | C2-Server Was ist ein Command-and-Control Server?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Mit Hilfe eines Command-and-Control Servers steuern Botmaster die infizierten Rechner eines Botnetzes. Es lassen sich Befehle an einzelne oder alle Rechner versenden, um beispielsweise Distributed-Denial-of-Service-Angriffe (DDoS-Attacken) zu starten. Auch der Empfang von Daten der Botnetz-Rechner und andere Aktivitäten sind möglich. Die Anzahl und die Struktur der Vernetzung der C&C-Server eines Botnetzes kann unterschiedlich sein.

Ein Command-and-Control Server dient der Steuerung von Botnetzen oder als Verbindungssystem zwischen jeder Form von Malware und ihren Urhebern.
Ein Command-and-Control Server dient der Steuerung von Botnetzen oder als Verbindungssystem zwischen jeder Form von Malware und ihren Urhebern.
(Bild: gemeinfrei / Pixabay )

Gebräuchliche Abkürzungen für Command-and-Control Server sind C&C-Server oder C2-Server. Es handelt sich um Server, mit deren Hilfe sich die Rechner eines Botnetzes steuern lassen. Ein Botnetz ist ein Netzwerk aus infizierten Rechnern, die ohne Wissen der Eigentümer oder Benutzer unter fremder Kontrolle stehen und sich aus der Ferne steuern lassen. Das Botnetz kann beispielsweise für Distributed-Denial-of-Service-Angriffe (DDoS-Attacken) oder für den Versand von Spam-E-Mails eingesetzt werden.

Der Command-and-Control Server erlaubt dem Botmaster, Befehle an einzelne oder an alle Rechner des Botnetzes zu versenden oder Daten aus dem Botnetz zu empfangen. Die Anzahl und die Struktur der Vernetzung der C&C-Server ist abhängig von der Art des Botnetzes unterschiedlich. Es kann sich um einen zentralen Server in einer Sternstruktur oder um mehrere Server in hierarchischen Strukturen oder in zufälligen P2P-Strukturen handeln. Um die Lokalisierung der Command-and-Control Server zu erschweren, kommen Methoden wie die automatisierte Verschleierung von Domain-Namen, das Zwischenschalten von Reverse Proxys oder das Verstecken des Datenverkehrs in legitimen Daten zum Einsatz. Als Protokolle für den Datenaustausch zwischen C2-Server und Botnetz-Rechner dienen Webprotokolle wie IRC, HTTP, Telnet und andere.

Architektur und genutzte Protokolle der Command-and-Control Server

Botnetze mit ihren Command-and-Control Servern können unterschiedlich organisiert sein. Eine einfache Struktur ist die Sterntopologie mit einem einzigen zentralen C&C-Server. Darüber hinaus existieren Botnetze mit hierarchischen Strukturen und mehreren C2-Servern oder Botnetze in Form von P2P-Strukturen mit verteilten C2-Server-Funktionen. Für die Kommunikation zwischen den Command-and-Control Servern und den zu steuernden Botnetz-Rechnern kommen verschiedene Protokolle zum Einsatz. Sehr beliebt ist das Nachrichtenprotokoll Internet Relay Chat (IRC). Weitere Protokolle sind:

  • HTTP (Hypertext Transfer Protocol) beziehungsweise HTTPS (Hypertext Transfer Protocol Secure )
  • Telnet
  • FTP (File Transfer Protocol)
  • Protokolle und Funktionen des Domain Name Systems (DNS)

Durch die Verwendung von gängigen, für normalen Netzwerkverkehr verwendeten Webprotokollen und den Einsatz der Verschlüsselung, lässt sich die Kommunikation mit dem C&C-Server verschleiern und verstecken.

Mit Hilfe eines Command-and-Control Servers ausführbare Funktionen

Ein Command-and-Control Server bietet dem Botmaster eine große Vielfalt an ausführbaren Funktionen. Der Informationsaustausch zwischen dem C2-Server und den Botnetz-Rechnern ist in der Regel bidirektional. Steuerkommandos lassen sich an einzelne Rechner oder an das komplette Botnetz versenden. Über versendete Steuerbefehle können zum Beispiel DDoS-Attacken koordiniert und gestartet, weitere Rechner infiziert, Malware und andere Software nachgeladen, Daten verschlüsselt oder gelöscht, vertrauliche Informationen und sensible Daten abgerufen, Kryptomining-Aktivitäten betrieben, Services unterbrochen oder Spam-Nachrichten versendet werden.

(ID:47730330)

Über den Autor