تتضمن القيادة والتحكم العديد من التكتيكات التي يستخدمها المهاجمون للاتصال بأنظمة الشبكة الضحية الخاضعة لسيطرتهم، قد يستخدم الخصم عدة طرق لتأسيس القيادة والسيطرة بدرجات متفاوتة من التخفي، اعتمادًا على حماية شبكة الضحية.
بعض تقنيات القيادة والسيطرة التي يستخدمها الهاكرز
1. بروتوكول طبقة التطبيق T1071
من خلال المزج مع حركة المرور، قد يتواصل الخصوم باستخدام بروتوكولات طبقة التطبيق للتحايل على الكشف وتصفية الشبكة، أوامر إلى النظام البعيد وغالبًا ما يتم دمج نتائجها في تدفق البروتوكول بين العميل والخادم.
2. ترميز البيانات T1132
قد يقوم الخصم بتشفير البيانات لزيادة صعوبة تمييز نقل الأوامر والتحكم، يمكن تمثيل المعلومات حول القيادة والتحكم (C2) باستخدام تقنية تشفير البيانات التقليدية، بالإضافة إلى (MIME) وأنظمة تشفير الأحرف الثنائية والنصوص الأخرى، قد يتوافق استخدام ترميز البيانات مع متطلبات البروتوكول الحالية، قد تؤدي بعض أنظمة تشفير البيانات، أيضًا إلى ضغط البيانات، يستخدم المهاجمون تقنيات تشفير قياسية أو غير قياسية.
ملاحظة: “C2” اختصار لـ “command-and-control “.
ملاحظة: “MIME” اختصار لـ “Multi-purpose Internet Mail Extensions”.
3. القناة المشفرة T1573
بدلاً من الاعتماد على أي ضمانات ملازمة يقدمها بروتوكول الاتصال، يجوز للخصوم تطبيق تقنية تشفير معروفة لإخفاء اتصالات القيادة والتحكم، على الرغم من أن هذه التطبيقات تستخدم تقنية آمنة، إلا أنها قد تكون عرضة للهندسة العكسية إذا تم تشفير المفاتيح السرية وإنتاجها داخل عينات البرامج الضارة وملفات التكوين.
4. برنامج الوصول عن بُعد T1219
من الممكن أن يستخدم المهاجم برنامج مساعدة سطح المكتب الأصلي وبرنامج الوصول عن بُعد، لاستهداف الأجهزة داخل الشبكات، تُستخدم هذه الخدمات بشكل شائع كبرامج مساعدة فنية معتمدة، وقد يُسمح بها عن طريق التحكم في التطبيق في البيئة المستهدفة، يعد استخدام برامج الوصول عن بُعد مثل: (Ammyy و VNC) سائدًا مقارنة باستخدام البرامج القانونية الأخرى من قبل الخصوم.