Zum Inhalt springen

Nächste Ausgabe 6. Juli 2026

Offensive Security

Command and Control (C2)

Command and Control (C2) ist die Art, wie ein Angreifer mit der Malware auf kompromittierten Systemen kommuniziert und sie steuert, indem er Anweisungen sendet und gestohlene Daten empfängt, während er versucht, im normalen Netzwerkverkehr unterzutauchen.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Command and Control, fast immer als C2 geschrieben, ist das Nervensystem eines modernen Einbruchs. Sobald ein Angreifer Malware auf ein System bekommt, ist dieser Code nutzlos, wenn der Angreifer nicht mit ihm sprechen kann: neue Anweisungen senden, weitere Werkzeuge nachladen und einsammeln, was die Malware findet. C2 ist genau dieses Gespräch. Es ist eine der vierzehn Taktiken im MITRE ATT&CK Framework, gerade weil nahezu jeder ernsthafte Vorfall, von Ransomware-Gruppen bis zu staatlichen Akteuren, von einem funktionierenden C2-Kanal abhängt.

Wie ein C2-Kanal funktioniert

Nach der ersten Kompromittierung bleibt die Malware nicht untätig. Sie meldet sich bei einem Server zurück, den der Angreifer kontrolliert, und beginnt mit dem "Beaconing": Sie meldet sich nach Zeitplan, fragt nach Anweisungen, führt sie aus und meldet das Ergebnis. Weil die infizierte Maschine die Verbindung selbst aufbaut, umgeht das praktischerweise Firewalls, die eingehenden Verkehr blockieren, ausgehenden aber erlauben.

Das Schwierige für Angreifer ist, verborgen zu bleiben, deshalb wird C2-Verkehr so gestaltet, dass er langweilig wirkt. Häufige Kanäle sind:

  • HTTPS zu einem Webserver, auf den ersten Blick nicht von gewöhnlichem Surfen zu unterscheiden.
  • DNS-Abfragen, die die meisten Netzwerke frei zulassen und selten genau prüfen.
  • Legitime Cloud-Dienste, in denen sich C2 im Verkehr zu Plattformen versteckt, denen ein Unternehmen bereits vertraut.

Warum C2 im Zentrum des Angriffs steht

C2 ist das Scharnier zwischen dem Gewinnen eines Fußes in der Tür und dem Erreichen des eigentlichen Ziels. Mit einem aktiven Kanal kann ein Angreifer weitere Nutzlasten ausrollen, Lateral Movement durchführen, um wertvollere Systeme zu erreichen, und schließlich die Datenexfiltration durchführen, häufig über genau denselben Kanal, um die Daten wieder hinauszuschleusen.

Weil der Aufbau und Betrieb dieser Infrastruktur sich wiederholende technische Arbeit ist, ist es eine der Aufgaben geworden, die Angreifer zunehmend an KI-Assistenten auslagern wollen. Wie wir in wie Hacker KI nutzen beschreiben, sind das Erzeugen von C2-Gerüsten, das Verschleiern des Beacon-Verkehrs und das Skripten des Infrastruktur-Aufbaus genau die vorbereitenden Arbeiten, die Angreifer die Modelle beschleunigen lassen.

C2 erkennen und kappen

Für Verteidiger ist das Finden von C2 zentrale SOC- und Threat-Hunting-Arbeit, weil es ein Zeitfenster zum Handeln eröffnet, bevor der Angreifer sein Ziel erreicht. Analysten suchen nach regelmäßigen Beaconing-Intervallen, Verbindungen zu neu registrierten oder schlecht beleumundeten Domains, Spitzen im DNS-Volumen und Daten, die zu ungewöhnlichen Zeiten das Netzwerk verlassen. Die Korrelation von Endpoint-Telemetrie mit Netzwerklogs und Threat Intelligence macht aus diesen schwachen Signalen eine belastbare Erkennung.

Die Lehre gilt in beide Richtungen. Angreifer investieren stark in C2, weil kein Kanal keine Kontrolle bedeutet; Verteidiger investieren ebenso stark in seine Erkennung, weil das C2-Gespräch, einmal gefunden, der Faden ist, der den gesamten Angriff entwirrt.

Im Bootcamp

Wie wir Command and Control (C2) unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur Command and Control (C2) in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 10: Penetrationstests und Ethisches Hacking

Verwandte Themen, die Sie beherrschen werden:MetasploitNmapBurp SuitePrivilege Escalation
Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive