C&C服务器--控制和命令服务器是由黑客或网络罪犯控制,用于恶意向由恶意软件控制的系统或主机传输命令,与此同时,这些服务器也用于接收从受控主机窃取的数据信息。
C&C如何工作
下面讨论经常使用的C&C技术:
1. 黑客首先入侵目标组织内的一台机器,通常情况下,这台机器位于防火墙后面,该操作可以通过多种方式实现:
1)通过垃圾邮件
2)通过浏览器的漏洞
3)通过在受感染主机上执行恶意程序
2. 此后,当目标网络内主机成功被感染并建立连接后,受感染主机通过向攻击者主机发送信号以等待进一步指令来确认攻击者
3. 受感染主机将执行来自于攻击者C&C服务器的进一步命令,并可能强制下载其他支持软件来进行下一步攻击
4. 现在,攻击者已经完全控制受害主机,并能够在该机器上执行任意恶意代码。相似地,恶意代码更容易通过网络传播,完全包含一个组织的整个IT基础设施,这将最终导致一个由受感染的机器组成的网络的形成,也称为僵尸网络。
5. 这样,攻击者能够对目标网络获得完全的非授权访问。
6. C&C在恶意软件攻击中充当大本营,递归地报告嗅探到的及窃取的数据,并存储各种攻击支持的命令。为了使攻击在网络穿越,建立C&C连接是关键的步骤。
7. C&C服务器还在僵尸网络中充当受感染主机的总指挥。它很有可能被用来发散命令、收集信息,传播恶意软件,扰乱网络管理,几乎任何事都可以实现。
8. 除了允许攻击者获取信息,C&C程序在受感染主机上还可能感染正常应用程序并造成资产滥用。
C&C服务器中的僵尸网络架构
1. 中心型:所有客户端均与服务器交互
1)系统和服务器都要存储通信和账户数据
2)大多数开放的短信业务使用一个统一的组织
2. P2P(peer to peer)型:P2P计算或系统管理是一种循环的应用程序设计,它将任务和负担分配给对等体(peer)
1)peer或节点在P2P网络中是等效的
2)每个peer或节点都是网络组织的枢纽
3)节点的一些资产或信息均可被其他节点访问,而不需要由工作人员协调
4)peer即使资产的提供者又是接受者
3. 随机型:僵尸网络不依赖于任何C&C主机;相反,所有的僵尸网络命令都是合法地从一台机器开始发送,获取方式不会被认为是常见方法,换言之,命令获取方式随机不存在固定模式
1)这类僵尸网络具有极高的休眠状态,经常会考虑到僵尸网络中的众多僵尸,而分析师只需抓住一个僵尸就能识别出它们。
2)通常,在开放的分布式组织中,由于C&C主机的地理位置更加复杂(例如,在TDL-4 僵尸网络中),混乱的僵尸主机和僵尸主机之间的通信的特殊类型被利用来交付这种特别难以摧毁的僵尸网络。
利用C&C实现网络攻击
1)窃密:敏感信息,例如预算记录,可以复制或移动到黑客的服务器。
2)关闭系统:攻击者可以关闭一台或几台机器,或者在任何情况下关闭整个组织的网络。
3)重启系统:可能不断地重启和关闭计算机,干扰正常业务
4)DDoS:用大量请求使服务器不堪重负,导致服务器瘫痪(防火墙或IPS比服务器还惧怕DDoS)
C&C检测
1. 在不间断的前提下观察所有入站和出站的流量:该控制明确建议观察大量的信息交互或未经授权的通信,这可能发生在黑客入侵的数据外泄期间。
2. 识别网络流异常:控制建议搜索组织通信中的不一致,这可能是恶意软件行动或失陷主机的迹象,(例如,C2响应)
3. 记录DNS查询和应用黑名单检查:该控制建议检查DNS请求,以确定已知的恶意域名或尝试进行C2通信
4. 利用限制:限制内部主机和已知恶意主机通信
5. 处理组织流量:将组织流量和注意事项放在日志检查框架中进行额外的调查和评估,捕捉和分解netflow信息以区分奇怪的动作。
6. 区分网络流量中未经授权的加密使用:恶意软件可能利用加密来窃取敏感的信息,绕过依赖于流量内容检查的工具包(例如DLPs,Data Leakage Prevention)。
7. 按照信任区域划分组织:将高危网络部分和高重视网络部分划分开
对C&C的控制
1. 可视化所有进入和外出流量:审查进入流量是至关重要,黑客可能会进行路过式下载或钓鱼攻击,出站通信应当被分解,以寻找C2通道已经建立的标志(信息泄露、C&C登记等)
2. 认识和审查组织流量中的特性:识别异常流量能帮助防护人员发现威胁
3. 收集组织流量的子集:收集组织通信的显式子集,特别是DNS请求响应和netflow信息。与建立完整的组织检测框架而言,收集这些信息比较容易
4. 设计组织:设计组织有助于改善流量检查和对攻击的反应的制定。例如,通过一个单独的阻塞点,所有的流量通过,关联被剖析,可以重新整理全部流量的调查和分类。