Hai provato Wikipedia ?
In breve, il malware (A) deve connettersi a (B).
Questo può essere fatto usando molti metodi diversi.
Il più semplice (secondo me) da configurare è utilizzando il protocollo HTTP (Webserver) .
Realizzi un semplice web server con brevi script PHP che gestiscono le richieste in arrivo. Invia / chiedi richieste utilizzando i socket (ad esempio) l'API di Windows.
Contromisura: Blocco di questo dominio / indirizzo IP specifico nel firewall. Dovrei menzionare che il malware spesso ha più indirizzi server codificati nella sua origine per controbilanciare questa contromisura.
Se stai lavorando presso una società / un ente governativo, le contromisure dovrebbero contattare il fornitore host per rimuovere quel sito Web o, in alcuni casi, persino hackerare il server.
Un altro molto usato è usando le chat room IRC . Crei una chat room IRC protetta e privata e quindi puoi "chattare" con il tuo malware. In altre parole, si invia un comando nella chat-box, e il malware ('leggendo' i messaggi della chat) riceverà i comandi e li eseguirà. L'IRC viene principalmente utilizzato per semplicità e per i suoi requisiti di larghezza di banda ridotta.
Contromisura: Blocca porte TCP specifiche come 6667 (specifiche per IRC), ancora una volta dovrei menzionare che IRC tenta anche altre porte se 6667 è bloccato.
Ciò che viene spesso usato è P2P (peer-to-peer), usi la tua connessione / computer come server C & C. Il malware comunica direttamente con la rete per ricevere comandi.
Questo è ciò che usi la maggior parte del tempo con framework come Metasploit.
Contromisura: qui l'IP dell'attaccante sarebbe statico, quindi è sufficiente bloccare l'IP dovrebbe funzionare. Di nuovo, se lavori in una compagnia di sicurezza / governo, puoi registrare l'IP e fortunatamente hai l'IP dell'attaccante. L'hacker potrebbe anche utilizzare una VPN che consente il port forwarding, ma non è più un vero P2P.
Come vedi, il tuo firewall è importante.