IP知识百科之命令与控制

命令与控制

随着恶意软件和恶意攻击的产业化发展，网络攻击者大都不再使用单台主机实施攻击行为，取而代之的是操控一定规模数量的受害主机发动集体攻击。这不仅扩大了攻击效果，也分散了被发现和屏蔽的风险。攻击者对受害主机进行操控的关键技术之一就是命令与控制（C&C），更确切的说，是通过C&C服务器对受害主机进行操控。

C&C会造成什么危害

当前，大多数网络边界防护手段比较有效，这使得攻击者很难从外部直接联系目标主机。然而，对于从内部发起的网络连接，往往却没有进行严格的限制，这就给了攻击者可乘之机。C&C通信过程针对这个“漏洞”进行了设计。当受害主机已经被植入恶意程序，通常该程序会建立一个出方向的连接，攻击者成功接触到内网主机后即可进行如下几种类型的操作：

横向移动：攻击者会利用第一台被入侵的主机作为跳板，获取网络中其他主机的信息，寻求在网络中进行横向移动的机会。

机密数据盗取：由于C&C通信是双向的，所以攻击者不仅可以向被害主机发送指令，还可以令其发送机密数据给自己。

DDoS攻击：DDoS（distributed denial of service，分布式拒绝服务）攻击是由僵尸网络发起的一种恶意攻击行为。

APT攻击：APT（Advanced Persistent Threat，高级长期威胁）攻击往往是一个比较漫长的过程，攻击者有时会故意进行到某一阶段就停止，潜伏下去以寻找更好的攻击时机。

C&C会造成什么危害

C&C通信过程中包含两个重要角色：C&C服务器和C&C客户端。C&C服务器是由黑客控制的主机，C&C客户端就是被植入恶意程序的受害主机。一般来讲，恶意程序可以通过钓鱼邮件、恶意网站、伪装成正常软件等方式感染受害主机。由于感染的过程充满随机性，攻击者并不能预测到哪些主机被感染，所以需要恶意程序主动联系C&C服务器。常见的C&C通信方式如下：

通过IP地址访问C&C服务器

通过域名访问C&C服务器

Fast-flux

使用网站或论坛作为C&C服务器

使用DGA生成随机域名

如何检测并防御C&C

C&C的攻防要点在于：攻击者能不能成功隐藏C&C服务。如果网络管理者发现了隐藏的C&C服务，即可使用技术手段切断C&C通信，然后再对受害主机进行处理。常见的检测C&C的思路如下：

外发流量：可在网关上配置一些规则对由内到外的流量进行检测，防止其处于无监管的状态。

信标：恶意程序感染主机后会发送信标，通知攻击者已成功部署。此后恶意程序可以在系统上闲置，定期向C&C服务器签入以获取进一步指令。

日志：网络管理者可以尽可能多的收集相关日志，并对这些日志进行分析。

关联分析：可从网络整体角度对收集到的海量数据进行分析。

华为如何帮助您防御C&C

HiSec Insight安全态势感知（原CIS）基于成熟自研商用大数据平台FusionInsight开发，结合智能检测算法可进行多维度海量数据关联分析，实时发现各类安全威胁事件，还原出整个APT攻击链攻击行为。HiSec Insight支持对多种威胁进行检测，包括C&C异常检测、ECA加密流量检测、事件关联分析、隐蔽通道检测等。

编辑：jq