全称Command and Control,命令与控制。
作动词解释:
在APT攻击中,大多数恶意软件不能自行进行活动,需要通过网络与攻击者进行交互,这种场景下C2理解为恶意软件与攻击者进行交互。
作名词解释:
所有的入侵、攻击,都是攻击者使用技术手段,通过"基础设施"对受害者造成影响,C2作为名称的解释就是攻击者的“基础设施”
作用:
APT攻击通常以窃密、监听为主,所以APT恶意软件需要建立C2通道进行手动交互,用于指令下发。
C2架构可以理解为恶意软件通过什么样的方式获取资源和命令,以及通过什么样的方式将数据回传给攻击者。
C2技术:
HTTP/HTTPS 是最常见的C2架构:
通常是通过恶意宏或者漏洞利勇,使用cscript、wscript或者powershell 从远端 HTTP 服务器拉取后门,进行安装执行。
优点如下:
1.成熟稳定、简单易用
2.允许任何类型的数据对象的传输,配合GET、POST、HEAD满足大多数命令交互需求
3.可在短时间开发、部署。
4.Domain-IP模式,方便基础设施的迁移。
5.常见流量类型,往往不会引起防火墙和IDS注意。
缺点:
1.需要ip或域名,ip被禁则无法使用。
DGA:
攻击者生成用着域名的伪随机字符串,时间或者其他种子因素的变化而变化。攻击者根据算法,确定正在请求的域名,进行注册解析。
DNS隧道技术:
http以及DGA的方式还是都会走http,为了躲过http流量审计且不易被发现,DNS隧道技术很合适。
DNS隧道技术利用DNS的分级查询,DNS服务器可以返回ip也可以返回任意字符串,这个字符串可以用作C2指令,默认空间是60个字符(配置选项允许该数据空间超过这个上限)。
FTP:
和http类似要进行多段 Payload 下发、数据上传。
社交平台:
web 应用的也可以作为C2架构。目前看到有多个 Actor 通过 facebook 、 twitter 等社交平台搭建C2。这种使用社交平台的C2易于搭建,一切指令封装到加密的平台通信里面。可轻易绕过黑名单,绕过流量审计。
云盘:
社交平台主要进行指令下发,与之类似的攻击策略,攻击者会使用云盘进行资源下发。
云盘和社交平台类似,隐蔽性强,不易发现。不同的是,一个常用于指令,一个常用于资源。
归纳:
C2 方式有三类:
传输协议层
应用协议层
应用服务层
受限于各个 APT 组织的技术能力和经济能力,目前看到的C2架构,主流的是 HTTP 。为了对抗黑名单、防火墙、流量审计,近两年基于应用服务的C2越来越多,这是可见的趋势。
\
