De communicatie tussen gekaapte pc's (bots) en de aansturende computers (command&control-servers) kan ervoor zorgen dat een cyberaanval wordt ontdekt. Securityleverancier Trend Micro meldt dat cybercriminelen hier een oplossing voor hebben gevonden. Zij plaatsen hun c&c-server(s) ín het netwerk van organisaties waar ze al zijn binnengedrongen. Vervolgens valt de verdere uitvoering van de aanval nauwelijks op.

Minder verkeer langs 'grenscontrole'

Onderzoeker Rik Ferguson van Trend Micro spreekt in een tweet van “een belangrijke evolutie" die het bedrijf onlangs heeft ontdekt. Dit verstoppen van de bot-aansturende server binnen het lan van het doelwit zorgt voor een flinke verlaging van de hoeveelheid verkeer die langs de perimeter van het bedrijfsnetwerk loopt. De kans tegen de lamp te lopen, daalt dan flink.

De hoeveelheid verkeer voor een c&c-server is minder dan voor een groep bots die zo'n machine aanstuurt. Het malafide dataverkeer verdwijnt natuurlijk niet volledig, vult Ferguson aan. De aanvallers houden het wel zo klein en onopvallend mogelijk. Aanvullende hulpmiddelen zijn het gebruik van meerdere externe servers en dynamische DNS-diensten (zoals DynDNS). Daardoor loopt de communicatie naar buiten toe niet naar een enkel ip-adres of domein, wat dan ook weer kan opvallen.

Ook in de cloud

In geval van een gerichte aanval waarbij datadiefstal het doel is, moet de buit natuurlijk nog wel naar buiten worden gebracht. Ook daarbij doen meerdere servers met wisselende domeinnamen dienst om het binnenhalen van de buit te verdoezelen.

Security-expert en auteur Richard Stiennon merkt in de Twitter-chatsessie van Trend Micro op dat hij nog een andere c&c-ontwikkeling ziet. Cybercriminelen plaatsen hun c&c-servers juist in clouds, zoals EC2 van Amazon. Verkeer daarheen valt niet meteen op als verdacht. Ook het gebruik van encryptie (bijvoorbeeld via https) voor het c&c-verkeer naar buiten toe behoort tot de recente ontwikkelingen.