Command and Control (C2)

C2, también conocido como CnC o Command and Control (Mando y Control en español), se refiere al tipo de infraestructura o software que un atacante utiliza para gestionar los equipos que ha comprometido, normalmente en la fase de post-explotación, utilizando el modelo de comunicaciones cliente-servidor.

En la actualidad, los atacantes aprovechan las capacidades y características de los C2 para agilizar las acciones posteriores a la explotación, como el exfiltrado de información, pivotar a otros equipos o realizar un reconocimiento más exhaustivo de la red.

Las instancias de C2 se suelen encontrar en la nube, donde el atacante posee una infraestructura que contiene el servidor, el cual será el maestro y dónde se conectará el esclavo/cliente, en este caso el equipo comprometido. El tipo y canal de comunicación más habitual suele ser el tráfico DNS o HTTP/HTTPS, aunque cada C2 puede utilizar diversos métodos.

Uno de los aspectos donde este tipo de software suele poner el foco es en la evasión de medidas de seguridad y la detección por parte de herramientas de seguridad. Por ejemplo, uno de los objetivos de un APT es que el compromiso de los equipos perdure en el tiempo, con la finalidad de extraer la mayor cantidad de información posible, mezclándose con el tráfico normal de la red.

Esto es posible gracias a las características que implementan los C2, como el cifrado de la información, tipo de arquitectura (CDNs, plataformas legítimas, etc) y técnicas de evasión.