® 
Servidor C2 (Mando y Control)
Definicion
Un servidor C2 es utilizado por atacantes para controlar remotamente sistemas infectados. La infraestructura C2 es el centro neuralgico de un ciberataque.
Un servidor C2 (Comando y Control) es un servidor utilizado por los atacantes para controlar remotamente los sistemas infectados, enviar instrucciones y recibir datos robados. La infraestructura C2 es el centro neuralgico de practicamente todos los ciberataques.
Como funciona un servidor C2?
Despues de comprometer un sistema, el atacante instala un implante o puerta trasera que se conecta al servidor C2. A traves de este canal, el sistema comprometido recibe instrucciones: descargar malware adicional, ejecutar comandos, robar datos, propagarse a otros sistemas.
Tecnicas de comunicacion C2
Trafico HTTP/HTTPS a dominios de apariencia legitima hace dificil distinguir el trafico C2 del trafico web normal. El tunelizado DNS oculta comandos C2 en consultas DNS. El domain fronting usa CDN para enmascarar el destino C2 real. Los DGA generan dominios C2 rapidamente para dificultar el bloqueo. Los canales cifrados via TLS impiden la inspeccion de contenido.
Impacto para las organizaciones
La comunicacion C2 activa desde la red corporativa indica un compromiso en curso. Detectar y bloquear el trafico C2 es una de las formas mas efectivas de detener un ataque tempranamente.
Proteccion
Monitorice el trafico DNS en busca de patrones sospechosos como dominios DGA. Inspeccione el trafico saliente en busca de anomalias. Bloquee infraestructura C2 conocida mediante feeds de inteligencia de amenazas. Implemente NDR. Utilice inspeccion SSL/TLS donde sea posible.
Como ayuda DEFION
DEFION detecta comunicacion C2 mediante Managed Threat Detection. El equipo SOC monitoriza continuamente indicadores de actividad C2 y responde inmediatamente ante compromisos confirmados.