Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Command-and- control server

Technologie

De machine die een aanvaller gebruikt om commando's te sturen naar systemen waarin hij heeft ingebroken. Bijvoorbeeld als hij een DDoS-aanval wil doen of een bot in een botnet wil aansturen.

Een command-and-control server, vaak afgekort als C2-server of C&C-server, is het centrale zenuwstelsel van een cyberaanval. Aanvallers gebruiken deze server om geinfecteerde systemen op afstand aan te sturen, opdrachten te verzenden en gestolen gegevens te ontvangen. Zodra malware een systeem heeft geinfecteerd, maakt het contact met de C2-server om verdere instructies te ontvangen. Dit maakt de C2-server het meest kritieke onderdeel van vrijwel elke geavanceerde cyberaanval, van simpele botnets tot complexe state-sponsored operaties.

C2-infrastructuur wordt ingezet bij een breed scala aan aanvallen, van ransomware en botnets tot Advanced Persistent Threats (APT's). De communicatie tussen de malware en de C2-server verloopt vaak via gangbare protocollen zoals HTTPS, DNS of zelfs social media, waardoor het verkeer moeilijk te onderscheiden is van normaal internetverkeer. Dit maakt detectie een aanzienlijke uitdaging voor beveiligingsteams. Volgens het MITRE ATT&CK framework is Command and Control (T1071) een van de meest voorkomende tactieken in het aanvalslandschap.

Hoe werkt een command-and-control server?

De werking van een C2-server volgt een vast patroon dat bekend staat als de C2-lifecycle. In de eerste fase infecteert de aanvaller een doelsysteem via bijvoorbeeld een phishing-e-mail, een besmette bijlage of een kwetsbaarheid in software. De geinstalleerde malware maakt vervolgens contact met de C2-server via een proces dat beaconing wordt genoemd: het geinfecteerde systeem stuurt op regelmatige intervallen een signaal naar de server om te controleren of er nieuwe opdrachten zijn. Deze intervallen varieren van seconden tot uren om detectie te bemoeilijken.

De C2-server kan vervolgens verschillende taken uitvoeren. Hij kan aanvullende malware laten downloaden, bestanden laten exfiltreren, screenshots laten maken, toetsaanslagen laten registreren of het geinfecteerde systeem laten fungeren als springplank naar andere systemen in het netwerk. Bij ransomware-aanvallen stuurt de C2-server het commando om bestanden te versleutelen en de losgeldmelding weer te geven. Bij spionage-operaties kan de C2-server maandenlang stilzwijgend data verzamelen zonder dat de aanval wordt opgemerkt.

Er bestaan verschillende architectuurmodellen voor C2-communicatie. Het traditionele model is een gecentraliseerde structuur waarbij alle geinfecteerde systemen communiceren met een of enkele servers. Dit model is eenvoudig maar kwetsbaar: als de C2-server wordt uitgeschakeld, verliest de aanvaller de controle. Moderner is het peer-to-peer model, waarbij geinfecteerde systemen onderling communiceren en er geen centraal aansturingspunt is. Dit maakt het netwerk weerbaarder tegen takedowns door opsporingsdiensten.

Daarnaast gebruiken aanvallers steeds vaker legitieme clouddiensten zoals Slack, Telegram, Google Drive of Twitter als C2-kanaal om detectie te bemoeilijken. Dit wordt living-off-the-land genoemd: door gebruik te maken van diensten die in elk bedrijfsnetwerk normaal zijn, valt het C2-verkeer niet op tussen het reguliere internetverkeer. Domain generation algorithms (DGA's) vormen een andere ontwijkingstechniek: de malware genereert dagelijks duizenden nieuwe domeinnamen waarvan de aanvaller er slechts een hoeft te registreren om de communicatie te herstellen.

Wanneer heb je bescherming tegen C2-servers nodig?

Elke organisatie met een internetverbinding is een potentieel doelwit voor C2-gebaseerde aanvallen. De noodzaak voor bescherming is echter extra groot voor organisaties die waardevolle data verwerken, zoals financiele instellingen, zorginstellingen en overheidsdiensten. Onder de NIS2-richtlijn zijn deze organisaties verplicht om maatregelen te treffen voor de detectie van kwaadaardig verkeer, waaronder C2-communicatie.

Specifieke situaties die bescherming tegen C2-verkeer vereisen zijn: wanneer je organisatie eerder slachtoffer is geweest van een cyberaanval, wanneer je in een sector opereert met een hoog dreigingsniveau, of wanneer je veel remote werknemers hebt die verbinding maken vanuit onbeveiligde netwerken. Een SIEM-systeem in combinatie met threat intelligence feeds kan helpen bij het detecteren van bekende C2-domeinen en IP-adressen. Ook DNS-filtering biedt een effectieve eerste verdedigingslinie door bekende C2-domeinen te blokkeren voordat de communicatie tot stand komt.

Voordelen en beperkingen van C2-detectie

Het monitoren op C2-verkeer biedt aanzienlijke voordelen. Het stelt je in staat om aanvallen te detecteren in een vroeg stadium, vaak voordat de aanvaller zijn uiteindelijke doel heeft bereikt. Door C2-communicatie te blokkeren, isoleer je de malware van zijn aansturing en beperk je de schade. Threat intelligence platforms onderhouden databases met bekende C2-indicatoren (Indicators of Compromise, IoC's) die je kunt integreren in je firewall- en DNS-filteringsregels.

De beperkingen liggen in de steeds geavanceerdere technieken die aanvallers gebruiken om detectie te omzeilen. Domain generation algorithms (DGA's) genereren dagelijks duizenden nieuwe domeinnamen voor C2-communicatie, waardoor blokkeerlijsten snel verouderen. Encrypted C2-verkeer over HTTPS is niet te inspecteren zonder SSL-inspectie, wat privacy- en juridische bezwaren kan opleveren. Fast-flux DNS, waarbij de IP-adressen van een domein snel wisselen, bemoeilijkt tracering en blokkade.

Een effectieve aanpak combineert meerdere detectiemethoden: signature-based detectie voor bekende C2-patronen, anomalie-detectie voor ongebruikelijke verkeerspatronen, en DNS-monitoring voor verdachte domeinresoluties. Het inzetten van een EDR-oplossing op endpoints helpt bij het detecteren van beaconing-gedrag op het apparaat zelf. Network Detection and Response (NDR) biedt daarnaast zicht op laterale bewegingen binnen het netwerk die kunnen duiden op een actieve C2-sessie.

Een veelgebruikte verdedigingsstrategie tegen C2-communicatie is DNS sinkholing. Hierbij worden bekende C2-domeinen in de DNS-resolver van de organisatie omgeleid naar een intern systeem dat de verbindingspogingen registreert zonder de malware daadwerkelijk met de aanvaller te laten communiceren. Dit biedt twee voordelen: de malware wordt onschadelijk gemaakt en het beveiligingsteam krijgt inzicht in welke systemen geinfecteerd zijn. Veel managed security service providers bieden DNS sinkholing aan als standaardonderdeel van hun dienstverlening. Combineer dit met netwerksegmentatie om de impact van een eventuele compromittering te beperken tot het getroffen netwerksegment. Threat hunting teams gebruiken daarnaast actief de MITRE ATT&CK matrix om C2-tactieken te identificeren en gerichte detectieregels te ontwikkelen voor hun omgeving.

Veelgestelde vragen over command-and-control servers

Hoe herken je C2-verkeer in je netwerk?

Let op regelmatige, terugkerende verbindingen naar onbekende domeinen of IP-adressen (beaconing), ongebruikelijke DNS-queries, verkeer naar landen waarmee je geen zakelijke relaties hebt, en grote hoeveelheden uitgaand verkeer op ongebruikelijke tijdstippen. Een SIEM met threat intelligence maakt deze detectie effectiever.

Wat is beaconing?

Beaconing is het proces waarbij geinfecteerde systemen op regelmatige intervallen contact maken met de C2-server om te controleren of er nieuwe opdrachten zijn. De intervallen varieren van seconden tot uren om detectie te bemoeilijken. Detectie van beaconing-patronen is een belangrijke indicator voor compromittering.

Wat is een botnet?

Een botnet is een netwerk van geinfecteerde computers die allemaal worden aangestuurd door een C2-server. De aanvaller, de botmaster, kan het botnet inzetten voor DDoS-aanvallen, spam, cryptomining of als proxy voor andere criminele activiteiten. Botnets kunnen uit miljoenen apparaten bestaan.

Hoe nemen opsporingsdiensten C2-servers offline?

Opsporingsdiensten werken samen met hostingproviders, domeinregistrars en internationale partners om C2-servers in beslag te nemen of domeinen over te nemen (sinkholing). Bij sinkholing wordt het C2-domein omgeleid naar een server van de autoriteiten, waardoor geinfecteerde systemen worden geidentificeerd zonder dat de aanvaller ze kan aansturen.

Kan een C2-server in de cloud draaien?

Ja, aanvallers maken steeds vaker gebruik van legitieme clouddiensten als C2-infrastructuur. Platforms zoals AWS, Azure, Slack en Telegram worden misbruikt als communicatiekanaal. Dit maakt detectie lastiger omdat het verkeer naar bekende, vertrouwde diensten gaat.

Vergelijk aanbieders van netwerkbeveiliging op Monitoring & Incident Response op IBgidsNL.