C&C-命令和控制服务器基本上是控制黑客或任何网络犯罪分子等的计算机,被恶意地用于命令已经被恶意软件利用或破坏的各种系统,并且这些服务器也用于接收黑客在目标网络上秘密地从受感染的计算机中获取所需的数据。现在,由于C&C服务器能够轻松地轻松地通过目标网络进行融合并融合到目标网络中,因此许多组织已开始使用各种类型的基于云的服务。
C&C如何工作?
在本节中,我们将讨论所使用的各种命令和控制技术。
1.报复性黑客组织已经在最近十年中上升。通过DNS和命令控制(通常称为C2或C&C),可以培养出最有害的漏洞(通常在DNS上执行)。
2.黑客首先通过利用目标组织内部的计算机来开始攻击,该计算机可能位于防火墙之后。这应该以多种方式实现:
- 通过网络钓鱼。
- 通过浏览器插件中的漏洞。
- 通过在受害者计算机上执行各种恶意程序或应用程序。
3.此后,当目标网络上的计算机受到威胁并建立了连接时,被利用机器通过向其发送进一步命令的信号来确认攻击者机器。
4.此受害机器将执行从黑客的C&C服务器传入的其他命令,并可能会强行下载其他支持软件以进行进一步的攻击。
5.现在,黑客已经完成了对受害者机器进行完全控制的任务,因此可以在其上运行任何类型的恶意代码。同样,恶意代码将更容易通过网络进行传播。完全包括组织的整个IT基础架构,最终将导致创建一个已经被破坏的机器网络(也称为僵尸网络)。
6.通过这种方式,黑客可以通过目标网络获得完全的未经授权的访问。
7. C&C充当攻击中使用的恶意软件的大本营,以递归方式递归报告嗅探或被窃取的数据,并且各种支持攻击的命令都存储在服务器上。为了绕过网络,这种攻击中的关键步骤是建立C&C连接。
8. C2服务器还充当僵尸网络中已经被利用的计算机的总部。很好地利用它来散布可以获取信息的命令,传播恶意软件,扰乱Web管理,并且从那里开始是无穷无尽的。
9.除了允许侵略者获取信息外,机器上C&C程序的存在还可能干扰真正的应用程序并导致滥用未来资产。
C&C服务器中的僵尸网络架构
1.集中模式:排序网络模型,其中所有客户端,焦距系统,这是所有的书信来往代理运算符界面。
- 该系统/服务器将存储对应关系和客户帐户数据。
- 大多数开放的发短信阶段都使用统一的组织。
- 另外,称为集中大型机结构。
2.点对点模型:点对点计算或系统管理是一种循环的应用程序设计,可在对等点之间分配差事或未解决的负担。
- 在应用程序中,连接的对等节点或节点同样是受青睐的等效成员。
- 据说它们构筑了共享的集线器组织。
- 节点可以充分利用自己的一些资产,例如,准备力量,循环堆存或组织数据传输,其他组织成员可以直接访问这些节点,而无需工作人员或稳定主机的集中协调。
- 对等是资产的两个提供者和购买者,而不是传统的客户工作者模型,在传统的客户工作者模型中,资产的使用和优美被隔离了。
- 开发合作式P2P框架已经超出了朋友们在共享资产时做比较事情的时期,并且正在寻找可以为虚拟网络获得非凡资产和能力的不同同伴,从而使其能够参与比虚拟网络更有意义的工作。由单身朋友培养而成,但对所有同龄人都有帮助。
3.随机模型:任意地理僵尸网络都不依赖任何C&C大型机;相反,所有僵尸网络订单都是从一个僵尸开始合法发送的,然后偶然地发送到下一个僵尸,因为某些罕见的方法认为它们已从僵尸网络所有者或另一个批准的客户处开始“标记”。
- 这样的僵尸网络具有极高的休眠状态,并且经常考虑到一个僵尸网络中的许多僵尸网络,分析人员只能识别出一个僵尸网络。
- 通常,在开放的分布式组织上,非常规类型的加扰的bot到bot的对应关系与C&C大型机地理位置更加复杂(例如,在TDL-4僵尸网络中)有关,以交付特别难以破坏的僵尸网络。
使用C&C进行漏洞利用
- 信息窃取:精致的信息(例如预算记录)可以复制或移动到黑客的服务器上。
- 关闭:攻击者可以关闭一台或几台计算机,或者在任何情况下都可以关闭整个组织的网络。
- 重新启动:被利用的PC可能无处不在,并且始终可能关闭并重新启动,这可能会干扰正在进行的典型任务。
- 分发拒绝服务: DDoS攻击通过大量请求使服务器不堪重负,或者我们可以通过庞大的互联网流量进行攻击。一旦建立了僵尸网络,攻击者就可以指示每个僵尸将请求发送到目标IP地址,从而为目标地址或目标服务器造成请求的流量阻塞。因此,拒绝合法流量。这种类型的攻击可以用来使网站瘫痪。
C&C检测
1.在不间断的前提下观察所有入站和出站流量:控件明确建议观察到大量信息交换或未经批准的流量,这可能在漏洞利用程序的渗透期间发生。
2.区分网络流中的异常:该控件建议搜索组织流量中的不一致情况,这可能表明恶意软件的行为(例如,C2对应关系)或已经被利用的机器。
3.记录DNS查询并进行臭名昭著的检查:该控件建议检查DNS需求,以进行确定已知恶意区域或进行C2通信的努力。
4.利用抵制:使用抵制来拒绝内部机器与已知恶意主机的通信。
5.消除组织流量:消除组织流量和日志检查框架中的注意事项以进行其他调查和评估,捕获和分解净流量信息以区分奇异的动作。
6.区分未经批准的网络流量中加密的使用:此处的理由是,恶意软件可能利用加密来泄露依赖于流量内容检查的绕过工具包(例如DLP)的精致信息。
7.阻碍准入:阻碍已实现的记录移动和电子邮件渗透区域设置的准入。寻找高峰时段僵局设计中的违规行为。
8.按照信任区域的指示将组织分散:如果可以分解该行动以将组织的高风险部门与高尚部分明确隔离,则此操作尤其有用。
9.保证客户对内部DNS服务器提出质疑:保证客户对内部DNS服务器提出质疑,可以观察到这些内部DNS服务器,并对其答案进行控制,例如阻止进入已知恶意或未经批准的区域。
C&C控件
1.筛选所有入站和出站流量:更明确的是,至关重要的是,检查入站流量是否存在可能导致污染的黑客入侵迹象,例如大量攻击,下载驱动或网络钓鱼攻击。应该对出站流量进行分解,以寻找建立了C2通道的迹象(信息泄露,命令和控制注册等)。
2.识别和审查组织流量中的特殊性:原因是针对性的攻击依赖于一个基础,该基础在大多数情况下都不太容易被记住,这对于有害端点的可访问性安排或利用所使用的C2方法(例如,约定)此外,还存在广泛的恶意软件。到那时,对异常流量进行区分将使保护者有能力获得这些新颖的危险。此提议有两个基本假设:定向攻击会带来奇怪的流量,而异常流量则意味着讨价还价。可能会不时地重新审查这两个假设:我们已经看到,侵略者正在炮制新技术以与典型的交通“混合”。随着新的管理和小工具的出现,组织的流量质量可能会发生变化。
3.收集组织流量的显式子集:收集组织流量的显式子集,尤其是DNS问题和Netflow信息。此建议的灵感在于,与建立完整的组织检查框架相比,收集此类信息可能更简单。从我们的书面调查中可以看出,已经设计了一些方法来根据这些信息源来区分C2流量。
4.对组织进行工程设计:对组织进行工程设计有助于 改善流量检查并制定对袭击的反应。例如,通过在所有流量都经过一个单独的塞口点,可以将关联解剖起来,从而可以重新排列流量的全部种类及其调查。
5.屏蔽网络动作:这将有助于区分与已知有害端点的关联努力,即已知用于攻击的IP和区域。原因是可以阻止这些端点的准入,并期望设置适当的组件(例如,防火墙)。这里的关键观点显然是制定并保持有害终点的特殊安排。