命令與控制

隨著惡意軟件和惡意攻擊的產(chǎn)業(yè)化發(fā)展，網(wǎng)絡(luò)攻擊者大都不再使用單臺(tái)主機(jī)實(shí)施攻擊行為，取而代之的是操控一定規(guī)模數(shù)量的受害主機(jī)發(fā)動(dòng)集體攻擊。這不僅擴(kuò)大了攻擊效果，也分散了被發(fā)現(xiàn)和屏蔽的風(fēng)險(xiǎn)。攻擊者對(duì)受害主機(jī)進(jìn)行操控的關(guān)鍵技術(shù)之一就是命令與控制（C&C），更確切的說(shuō)，是通過(guò)C&C服務(wù)器對(duì)受害主機(jī)進(jìn)行操控。

C&C會(huì)造成什么危害

當(dāng)前，大多數(shù)網(wǎng)絡(luò)邊界防護(hù)手段比較有效，這使得攻擊者很難從外部直接聯(lián)系目標(biāo)主機(jī)。然而，對(duì)于從內(nèi)部發(fā)起的網(wǎng)絡(luò)連接，往往卻沒(méi)有進(jìn)行嚴(yán)格的限制，這就給了攻擊者可乘之機(jī)。C&C通信過(guò)程針對(duì)這個(gè)“漏洞”進(jìn)行了設(shè)計(jì)。當(dāng)受害主機(jī)已經(jīng)被植入惡意程序，通常該程序會(huì)建立一個(gè)出方向的連接，攻擊者成功接觸到內(nèi)網(wǎng)主機(jī)后即可進(jìn)行如下幾種類(lèi)型的操作：

橫向移動(dòng)：攻擊者會(huì)利用第一臺(tái)被入侵的主機(jī)作為跳板，獲取網(wǎng)絡(luò)中其他主機(jī)的信息，尋求在網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)的機(jī)會(huì)。

機(jī)密數(shù)據(jù)盜取：由于C&C通信是雙向的，所以攻擊者不僅可以向被害主機(jī)發(fā)送指令，還可以令其發(fā)送機(jī)密數(shù)據(jù)給自己。

DDoS攻擊：DDoS（distributed denial of service，分布式拒絕服務(wù)）攻擊是由僵尸網(wǎng)絡(luò)發(fā)起的一種惡意攻擊行為。

APT攻擊：APT（Advanced Persistent Threat，高級(jí)長(zhǎng)期威脅）攻擊往往是一個(gè)比較漫長(zhǎng)的過(guò)程，攻擊者有時(shí)會(huì)故意進(jìn)行到某一階段就停止，潛伏下去以尋找更好的攻擊時(shí)機(jī)。

C&C會(huì)造成什么危害

C&C通信過(guò)程中包含兩個(gè)重要角色：C&C服務(wù)器和C&C客戶端。C&C服務(wù)器是由黑客控制的主機(jī)，C&C客戶端就是被植入惡意程序的受害主機(jī)。一般來(lái)講，惡意程序可以通過(guò)釣魚(yú)郵件、惡意網(wǎng)站、偽裝成正常軟件等方式感染受害主機(jī)。由于感染的過(guò)程充滿隨機(jī)性，攻擊者并不能預(yù)測(cè)到哪些主機(jī)被感染，所以需要惡意程序主動(dòng)聯(lián)系C&C服務(wù)器。常見(jiàn)的C&C通信方式如下：

通過(guò)IP地址訪問(wèn)C&C服務(wù)器

通過(guò)域名訪問(wèn)C&C服務(wù)器

Fast-flux

使用網(wǎng)站或論壇作為C&C服務(wù)器

使用DGA生成隨機(jī)域名

如何檢測(cè)并防御C&C

C&C的攻防要點(diǎn)在于：攻擊者能不能成功隱藏C&C服務(wù)。如果網(wǎng)絡(luò)管理者發(fā)現(xiàn)了隱藏的C&C服務(wù)，即可使用技術(shù)手段切斷C&C通信，然后再對(duì)受害主機(jī)進(jìn)行處理。常見(jiàn)的檢測(cè)C&C的思路如下：

外發(fā)流量：可在網(wǎng)關(guān)上配置一些規(guī)則對(duì)由內(nèi)到外的流量進(jìn)行檢測(cè)，防止其處于無(wú)監(jiān)管的狀態(tài)。

信標(biāo)：惡意程序感染主機(jī)后會(huì)發(fā)送信標(biāo)，通知攻擊者已成功部署。此后惡意程序可以在系統(tǒng)上閑置，定期向C&C服務(wù)器簽入以獲取進(jìn)一步指令。

日志：網(wǎng)絡(luò)管理者可以盡可能多的收集相關(guān)日志，并對(duì)這些日志進(jìn)行分析。

關(guān)聯(lián)分析：可從網(wǎng)絡(luò)整體角度對(duì)收集到的海量數(shù)據(jù)進(jìn)行分析。

華為如何幫助您防御C&C

HiSec Insight安全態(tài)勢(shì)感知（原CIS）基于成熟自研商用大數(shù)據(jù)平臺(tái)FusionInsight開(kāi)發(fā)，結(jié)合智能檢測(cè)算法可進(jìn)行多維度海量數(shù)據(jù)關(guān)聯(lián)分析，實(shí)時(shí)發(fā)現(xiàn)各類(lèi)安全威脅事件，還原出整個(gè)APT攻擊鏈攻擊行為。HiSec Insight支持對(duì)多種威脅進(jìn)行檢測(cè)，包括C&C異常檢測(cè)、ECA加密流量檢測(cè)、事件關(guān)聯(lián)分析、隱蔽通道檢測(cè)等。

編輯：jq