Vai al contenuto

Prossima edizione 6 luglio 2026

Sicurezza offensiva

Comando e Controllo (C2)

Il comando e controllo (C2) è il modo in cui un attaccante comunica con il malware sui sistemi compromessi e lo dirige, inviando istruzioni e ricevendo dati rubati mentre cerca di mimetizzarsi nel normale traffico di rete.

Autore
Unihackers Team
Tempo di lettura
3 min di lettura
Ultimo aggiornamento

Il comando e controllo, quasi sempre scritto C2, è il sistema nervoso di un'intrusione moderna. Una volta che un attaccante riesce a piazzare un malware su un sistema, quel codice è inutile se non può parlargli: inviargli nuove istruzioni, scaricare altri strumenti e raccogliere ciò che il malware trova. Il C2 è proprio questa conversazione. È una delle quattordici tattiche del framework MITRE ATT&CK proprio perché quasi ogni breccia seria, dai gruppi ransomware agli attori statali, dipende da un canale di C2 funzionante.

Come funziona un canale di C2

Dopo la compromissione iniziale, il malware non resta inerte. Ricontatta un server controllato dall'attaccante e inizia il "beaconing": si registra secondo una pianificazione, chiede istruzioni, le esegue e riferisce il risultato. Poiché è la macchina infetta a iniziare la connessione, questo aggira comodamente i firewall che bloccano il traffico in entrata ma consentono quello in uscita.

La parte difficile per l'attaccante è restare nascosto, quindi il traffico di C2 è progettato per sembrare noioso. I canali più comuni sono:

  • HTTPS verso un server web, a prima vista indistinguibile dalla normale navigazione.
  • Query DNS, che la maggior parte delle reti consente liberamente e raramente ispeziona a fondo.
  • Servizi cloud legittimi, dove il C2 si nasconde nel traffico verso piattaforme di cui l'azienda già si fida.

Perché il C2 è al centro dell'attacco

Il C2 è la cerniera tra l'ottenere un punto d'appoggio e il raggiungere l'obiettivo reale. Con un canale attivo, un attaccante può distribuire nuovi payload, eseguire il movimento laterale per raggiungere sistemi di maggior valore e, infine, condurre l'esfiltrazione di dati, spesso riutilizzando proprio quello stesso canale per portare fuori le informazioni.

Poiché costruire e gestire questa infrastruttura è un lavoro tecnico ripetitivo, è diventato uno dei compiti che gli attaccanti cercano sempre più di delegare agli assistenti IA. Come spieghiamo in come gli hacker usano l'IA, generare l'impalcatura del C2, offuscare il traffico dei beacon e automatizzare l'allestimento dell'infrastruttura sono esattamente il tipo di lavoro preparatorio che gli attaccanti chiedono ai modelli di accelerare.

Rilevare e tagliare il C2

Per i difensori, trovare il C2 è lavoro centrale del SOC e del threat hunting, perché offre una finestra per agire prima che l'attaccante raggiunga il suo obiettivo. Gli analisti cercano intervalli di beaconing regolari, connessioni verso domini registrati di recente o di scarsa reputazione, picchi nel volume DNS e dati che lasciano la rete a orari insoliti. Correlare la telemetria degli endpoint con i log di rete e la threat intelligence trasforma questi deboli segnali in un rilevamento solido.

La lezione vale in entrambi i sensi. Gli attaccanti investono molto nel C2 perché senza canale non c'è controllo; i difensori investono altrettanto nel rilevarlo perché la conversazione di C2, una volta scoperta, è il filo che dipana l'intero attacco.

Nel Bootcamp

Come insegniamo Comando e Controllo (C2)

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Comando e Controllo (C2). Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 10: Penetration Testing e Hacking Etico

Argomenti correlati che padroneggerai:MetasploitNmapBurp SuiteEscalation dei Privilegi
Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso