IP知识百科之命令与控制

描述

命令与控制

随着恶意软件和恶意攻击的产业化发展,网络攻击者大都不再使用单台主机实施攻击行为,取而代之的是操控一定规模数量的受害主机发动集体攻击。这不仅扩大了攻击效果,也分散了被发现和屏蔽的风险。攻击者对受害主机进行操控的关键技术之一就是命令与控制(C&C),更确切的说,是通过C&C服务器对受害主机进行操控。

C&C会造成什么危害

当前,大多数网络边界防护手段比较有效,这使得攻击者很难从外部直接联系目标主机。然而,对于从内部发起的网络连接,往往却没有进行严格的限制,这就给了攻击者可乘之机。C&C通信过程针对这个“漏洞”进行了设计。当受害主机已经被植入恶意程序,通常该程序会建立一个出方向的连接,攻击者成功接触到内网主机后即可进行如下几种类型的操作:

横向移动:攻击者会利用第一台被入侵的主机作为跳板,获取网络中其他主机的信息,寻求在网络中进行横向移动的机会。

机密数据盗取:由于C&C通信是双向的,所以攻击者不仅可以向被害主机发送指令,还可以令其发送机密数据给自己。

DDoS攻击:DDoS(distributed denial of service,分布式拒绝服务)攻击是由僵尸网络发起的一种恶意攻击行为。

APT攻击:APT(Advanced Persistent Threat,高级长期威胁)攻击往往是一个比较漫长的过程,攻击者有时会故意进行到某一阶段就停止,潜伏下去以寻找更好的攻击时机。

C&C会造成什么危害

C&C通信过程中包含两个重要角色:C&C服务器和C&C客户端。C&C服务器是由黑客控制的主机,C&C客户端就是被植入恶意程序的受害主机。一般来讲,恶意程序可以通过钓鱼邮件、恶意网站、伪装成正常软件等方式感染受害主机。由于感染的过程充满随机性,攻击者并不能预测到哪些主机被感染,所以需要恶意程序主动联系C&C服务器。常见的C&C通信方式如下:

通过IP地址访问C&C服务器

通过域名访问C&C服务器

Fast-flux

使用网站或论坛作为C&C服务器

使用DGA生成随机域名

如何检测并防御C&C

C&C的攻防要点在于:攻击者能不能成功隐藏C&C服务。如果网络管理者发现了隐藏的C&C服务,即可使用技术手段切断C&C通信,然后再对受害主机进行处理。常见的检测C&C的思路如下:

外发流量:可在网关上配置一些规则对由内到外的流量进行检测,防止其处于无监管的状态。

信标:恶意程序感染主机后会发送信标,通知攻击者已成功部署。此后恶意程序可以在系统上闲置,定期向C&C服务器签入以获取进一步指令。

日志:网络管理者可以尽可能多的收集相关日志,并对这些日志进行分析。

关联分析:可从网络整体角度对收集到的海量数据进行分析。

华为如何帮助您防御C&C

HiSec Insight安全态势感知(原CIS)基于成熟自研商用大数据平台FusionInsight开发,结合智能检测算法可进行多维度海量数据关联分析,实时发现各类安全威胁事件,还原出整个APT攻击链攻击行为。HiSec Insight支持对多种威胁进行检测,包括C&C异常检测、ECA加密流量检测、事件关联分析、隐蔽通道检测等。

编辑:jq

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分