命令與控制

隨著惡意軟件和惡意攻擊的產(chǎn)業(yè)化發(fā)展，網(wǎng)絡攻擊者大都不再使用單臺主機實施攻擊行為，取而代之的是操控一定規(guī)模數(shù)量的受害主機發(fā)動集體攻擊。這不僅擴大了攻擊效果，也分散了被發(fā)現(xiàn)和屏蔽的風險。攻擊者對受害主機進行操控的關鍵技術之一就是命令與控制（C&C），更確切的說，是通過C&C服務器對受害主機進行操控。

C&C會造成什么危害

當前，大多數(shù)網(wǎng)絡邊界防護手段比較有效，這使得攻擊者很難從外部直接聯(lián)系目標主機。然而，對于從內(nèi)部發(fā)起的網(wǎng)絡連接，往往卻沒有進行嚴格的限制，這就給了攻擊者可乘之機。C&C通信過程針對這個“漏洞”進行了設計。當受害主機已經(jīng)被植入惡意程序，通常該程序會建立一個出方向的連接，攻擊者成功接觸到內(nèi)網(wǎng)主機后即可進行如下幾種類型的操作：

橫向移動：攻擊者會利用第一臺被入侵的主機作為跳板，獲取網(wǎng)絡中其他主機的信息，尋求在網(wǎng)絡中進行橫向移動的機會。

機密數(shù)據(jù)盜?。河捎贑&C通信是雙向的，所以攻擊者不僅可以向被害主機發(fā)送指令，還可以令其發(fā)送機密數(shù)據(jù)給自己。

DDoS攻擊：DDoS（distributed denial of service，分布式拒絕服務）攻擊是由僵尸網(wǎng)絡發(fā)起的一種惡意攻擊行為。

APT攻擊：APT（Advanced Persistent Threat，高級長期威脅）攻擊往往是一個比較漫長的過程，攻擊者有時會故意進行到某一階段就停止，潛伏下去以尋找更好的攻擊時機。

C&C會造成什么危害

C&C通信過程中包含兩個重要角色：C&C服務器和C&C客戶端。C&C服務器是由黑客控制的主機，C&C客戶端就是被植入惡意程序的受害主機。一般來講，惡意程序可以通過釣魚郵件、惡意網(wǎng)站、偽裝成正常軟件等方式感染受害主機。由于感染的過程充滿隨機性，攻擊者并不能預測到哪些主機被感染，所以需要惡意程序主動聯(lián)系C&C服務器。常見的C&C通信方式如下：

通過IP地址訪問C&C服務器

通過域名訪問C&C服務器

Fast-flux

使用網(wǎng)站或論壇作為C&C服務器

使用DGA生成隨機域名

如何檢測并防御C&C

C&C的攻防要點在于：攻擊者能不能成功隱藏C&C服務。如果網(wǎng)絡管理者發(fā)現(xiàn)了隱藏的C&C服務，即可使用技術手段切斷C&C通信，然后再對受害主機進行處理。常見的檢測C&C的思路如下：

外發(fā)流量：可在網(wǎng)關上配置一些規(guī)則對由內(nèi)到外的流量進行檢測，防止其處于無監(jiān)管的狀態(tài)。

信標：惡意程序感染主機后會發(fā)送信標，通知攻擊者已成功部署。此后惡意程序可以在系統(tǒng)上閑置，定期向C&C服務器簽入以獲取進一步指令。

日志：網(wǎng)絡管理者可以盡可能多的收集相關日志，并對這些日志進行分析。

關聯(lián)分析：可從網(wǎng)絡整體角度對收集到的海量數(shù)據(jù)進行分析。

華為如何幫助您防御C&C

HiSec Insight安全態(tài)勢感知（原CIS）基于成熟自研商用大數(shù)據(jù)平臺FusionInsight開發(fā)，結合智能檢測算法可進行多維度海量數(shù)據(jù)關聯(lián)分析，實時發(fā)現(xiàn)各類安全威脅事件，還原出整個APT攻擊鏈攻擊行為。HiSec Insight支持對多種威脅進行檢測，包括C&C異常檢測、ECA加密流量檢測、事件關聯(lián)分析、隱蔽通道檢測等。

編輯：jq