本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

首页 信息速查 百科 在线课堂 智能问答

什么是命令与控制(C&C)?

随着恶意软件和恶意攻击的产业化发展,网络攻击者大都不再使用单台主机实施攻击行为,取而代之的是操控一定规模数量的受害主机发动集体攻击。这不仅扩大了攻击效果,也分散了被发现和屏蔽的风险。攻击者对受害主机进行操控的关键技术之一就是C&C,更确切的说,是通过C&C服务器对受害主机进行操控。
C&C服务器不仅可以收集被害主机的信息,如操作系统、应用软件和开放端口等,还可以向被害主机发送控制指令,指使它执行某些恶意行为。攻击者也可以将被害主机作为跳板,通过其感染更多网络内的主机,最终由C&C服务器进行统一控制。

C&C会造成什么危害

当前,大多数网络边界防护手段比较有效,这使得攻击者很难从外部直接联系目标主机。然而,对于从内部发起的网络连接,往往却没有进行严格的限制,这就给了攻击者可乘之机。C&C通信过程针对这个“漏洞”进行了设计。当受害主机已经被植入恶意程序,通常该程序会建立一个出方向的连接,攻击者成功接触到内网主机后即可进行如下几种类型的操作:

  • 横向移动

    由于第一台被入侵的主机往往并不是很有价值的目标(这也很好理解,重要的目标肯定会严加防护,很难被直接攻击),所以攻击者会利用该主机作为跳板,获取网络中其他主机的信息,寻求在网络中进行横向移动的机会。攻击者会不断重复这个过程,直到获得对高价值目标的访问权和控制权。

  • 机密数据盗取

    由于C&C通信是双向的,所以攻击者不仅可以向被害主机发送指令,还可以令其发送机密数据给自己。在很多攻击事件中,攻击者往往会在盗取机密数据后,对受害者进行勒索,如果不支付相应的财物,攻击者就会散播或出售这些机密数据。

  • DDoS攻击

    DDoS(distributed denial of service,分布式拒绝服务)攻击是由僵尸网络发起的一种恶意攻击行为。所谓僵尸网络,简单讲就是指已被恶意程序感染并被攻击者控制的一组主机,这些被感染的主机一般称为肉鸡。攻击者通过C&C服务器向肉鸡发送指令,即可对目标实施DDoS攻击。

  • APT攻击

    APT(Advanced Persistent Threat,高级长期威胁)攻击往往是一个比较漫长的过程,攻击者有时会故意进行到某一阶段就停止。例如,攻击者通过C&C服务器获得某些主机的控制权后,并不实施犯罪行为,他可能会潜伏下去,以寻找更好的攻击时机,也可能寻找感兴趣的买家,将C&C服务器和被害主机打包出售给他。

C&C的危害性
C&C的危害性

C&C的通信方式

C&C通信过程中包含两个重要角色:C&C服务器和C&C客户端。C&C服务器是由黑客控制的主机,C&C客户端就是被植入恶意程序的受害主机。C&C服务器不仅可以收集C&C客户端的信息,如操作系统、应用软件和开放端口等,还可以向C&C客户端发送控制指令,指使它执行某些恶意行为。攻击者也可以将C&C客户端作为跳板,通过其感染更多网络内的主机,扩大C&C客户端的规模。

C&C通信过程中的主要角色
C&C通信过程中的主要角色

一般来讲,恶意程序可以通过钓鱼邮件、恶意网站、伪装成正常软件等方式感染受害主机。由于感染的过程充满随机性,攻击者并不能预测到哪些主机被感染,所以需要恶意程序主动联系C&C服务器。恶意程序会保持和C&C服务器的联络,并在断线的时候重新发起连接。

下面介绍几种常见的C&C通信方式:

  • 通过IP地址访问C&C服务器

    这是最常见的一类C&C服务器。攻击者在恶意程序里硬编码写上C&C服务器的IP地址,然后C&C客户端会发送通信请求给此IP地址。这种方法很简单,但是很容易被发现,一旦网络管理者封禁这个IP地址,C&C客户端就不再受攻击者控制了。

  • 通过域名访问C&C服务器

    在恶意程序里硬编码写上C&C服务器的域名,以此代替IP地址,这个方法可以起到一定隐蔽作用。但是,这种方法也比较容易被发现,网络管理者同样可以封禁这个域名,使C&C客户端不再受控制。

  • Fast-flux

    Fast-flux是一种不断改变域名和IP地址映射关系的技术。这提升了C&C服务器IP地址或域名被发现的难度,即使发现了几个,也难以屏蔽所有的组合。但这也只是提高了挖掘难度而已,并不是难以发现,例如网络管理者可以利用较短的TTL时间来挖掘出所有的IP地址和域名组合。

  • 使用网站或论坛作为C&C服务器

    攻击者在一些论坛的冷门区域或者在热门网站上发送C&C控制指令,然后让恶意程序通过爬虫的方法获取指令。这种方法很难发现,但是相对比较好处理,只需举报给相应的网站,封禁涉及到的账号即可。

  • 使用DGA生成随机域名

    DGA即域名生成算法,通过此算法可生成大量的随机域名,C&C客户端即是对这些随机域名进行访问。这是当前比较主流的一种C&C通信方法,由于域名是随机生成的,所以较难发现和防御。一般通过机器学习的方法对DGA域名进行检测,自动将域名加入黑名单或阻断相关流量。

如何检测并防御C&C

C&C的攻防要点在于:攻击者能不能成功隐藏C&C服务。如果网络管理者发现了隐藏的C&C服务,即可使用技术手段切断C&C通信,然后再对受害主机进行处理。

下面介绍几种检测C&C的思路:

  • 外发流量

    大多数网络安全防御措施关注的是传入流量中是否包含威胁,较少关注外发流量。这恰恰是C&C的优势,连接基本是由受害主机发起,所以后续很多交互过程和下载恶意程序的行为都不会被阻止。对于这种情况,可以在网关上配置一些规则,对由内到外的流量进行检测,防止其处于无监管的状态。

  • 信标

    恶意程序感染主机后会发送一个信标,通知攻击者已成功部署。此后,恶意程序可以在系统上闲置,定期向C&C服务器签入以获取进一步指令。也可以作为一种心跳发送,以通知攻击者该主机处于活动状态。

  • 日志

    网络管理者可以尽可能多的收集相关日志,并对这些日志进行分析。在过去,大都依赖安全分析师从海量日志中查找不寻常的信息,例如看似没问题的HTTPS或DNS请求中可能就包含着恶意程序文件。当前,已经有很多安全产品/系统支持对海量日志进行智能分析,这大大提高了分析和处理的效率。

  • 关联分析

    有时攻击者将恶意行为隐藏的非常巧妙,网络管理者很难从单一的事件中发现威胁。此时,可以从网络整体角度对收集到的海量数据进行分析,从中寻找相关数据的关联性,挖掘出隐藏的恶意行为。

由于C&C技术主要用于恶意程序感染主机之后,所以我们更倾向于引导人们事前的安全行为和安全意识,下面是一些防范建议:

  • 尽量从正规网站下载软件,不要从小型网站、网盘、论坛等渠道下载软件。
  • 主机安装安全软件,定期扫描系统,防止病毒、木马的入侵。
  • 及时升级或更新各种软件和系统,防止出现基于已知漏洞的攻击。
  • 加强网络安全建设,提高攻击入侵难度,拦截绝大多数攻击和威胁。

华为如何帮助您防御C&C

如果C&C客户端一直处于潜伏阶段,的确较难发现,但是一般来讲它会主动联系C&C服务器,这就为发现潜在威胁提供了突破口。无论是通过信标、日志、流量等原始数据,还是通过关联分析的方法,都可以发现C&C通信的蛛丝马迹。

HiSec Insight高级威胁分析系统

HiSec Insight高级威胁分析系统采用大数据平台技术和智能检测算法,可对海量数据进行多维度关联分析,实时发现各类安全威胁事件,并还原出整个APT攻击链。同时,提供全网安全态势展示功能,帮助用户对网络安全状况有总体了解。HiSec Insight支持对多种威胁进行检测,包括C&C异常检测、加密流量检测、事件关联分析、隐蔽通道检测等。

USG6000E防火墙

USG6000E防火墙在提供NGFW能力的基础上,可以联动其他安全设备,增强边界检测能力,有效防御高级威胁。USG6000E防火墙提供智能检测引擎,采用基于机器学习和深度学习的安全检测算法,可以针对DGA域名请求、C&C恶意流量、恶意加密流量等进行检测。

词条统计
  • 作者: 闫广辉
  • 最近更新: 2021-10-09
  • 浏览次数: 804
  • 平均得分: