命令与控制服务器 (C&C server)

引言

感染了rootkit或其他恶意软件（如勒索软件）的数字设备指令的计算机被称为命令与控制服务器，或C&C服务器。C&C服务器可用于构建被感染设备的强大网络，这些网络能够通过加密数据、删除数据或发起分布式拒绝服务（DDoS）攻击来勒索钱财。

过去，C&C服务器可以运行数年，并且通常由攻击者物理控制。如今，C&C服务器的寿命通常不长；它们经常驻留在合法的云服务中，并使用自动化的域创建算法来逃避执法部门和道德的恶意软件猎手的检测。

C&C服务器是如何工作的？

要发生C&C攻击，一个恶意的远程服务器（也称为C&C服务器）需要渗透一个已感染的系统。大多数设备，包括PC、平板电脑、智能手机和物联网设备，都容易受到此类攻击。

针对命令与控制服务器的攻击通常通过以下渠道发生：

• 网络钓鱼邮件，诱骗收件人打开恶意附件或链接。
• 恶意广告（Malvertising）涉及将恶意代码嵌入数字广告中。
• 恶意脚本可以通过易受攻击的浏览器扩展和插件被引入交互式网页，从而重定向和窃取在在线表单中输入的信息。
• 恶意软件直接安装在设备上，以开始发出恶意命令。

一旦设备成功被入侵，威胁行为者就会与恶意的C&C服务器通信，以指示受感染的主机并创建一个恶意网络。僵尸网络（Botnet）是一个由命令与控制服务器控制的恶意网络；其成员网络节点也称为僵尸（zombies）。信标（Beaconing）是另一种在受感染设备和C&C服务器之间发送指令或额外有效载荷的方式。

一旦受感染的主机开始执行C&C服务器发送的命令，就会安装额外的恶意软件，从而使威胁行为者能够完全控制受感染的机器。

流行的僵尸网络拓扑结构

僵尸网络是受威胁行为者控制的、已感染恶意软件的互联网连接的机器人集合。尽管点对点（P2P）僵尸网络因其去中心化的架构越来越受欢迎，这使得威胁行为者拥有更多控制权，但大多数僵尸网络都采用集中式的命令与控制架构。

最常见的僵尸网络拓扑结构包括：

• 星型拓扑：所有机器人围绕一个中心服务器排列。
• 多服务器拓扑：为了冗余，有多个C&C服务器。
• 分层拓扑：C&C服务器分组按层级排列。
• 随机拓扑：共用的计算机使用P2P僵尸网络进行通信。
• P2P：每个机器人独立地充当客户端和服务器。P2P僵尸网络架构缺乏集中控制，使其更具侵略性且难以检测。

传统的僵尸网络通常包含受特洛伊木马感染的机器人，通过Internet Relay Chat（IRC）与中央命令与控制服务器通信。此类僵尸网络通常用于分发恶意软件或垃圾邮件，以及窃取敏感数据，如信用卡号。然而，由于IRC通信与僵尸网络控制相关联，IRC通信现在普遍被回避，导致网络犯罪分子创新新的隐蔽方法来进行C&C服务器通信。这些替代渠道包括利用LinkedIn或Twitter等社交媒体平台上的虚假账户，将命令嵌入JPEG图像中，以及将指令隐藏在Microsoft Word文件中。

命令与控制的常见用途

命令与控制服务器主要用于希望集中管理其网络设备的组织，从而实现高效的应用程序和策略部署与管理。此外，它们还提供对网络状况的洞察，有助于监控性能和活动。值得注意的是，命令与控制服务器有多种功能，如下文详述。

1. 恶意软件管理

由于恶意软件管理，攻击者能够随时控制其恶意软件并执行恶意操作。它使攻击者能够监控感染的进展并根据需要修改其攻击计划。

从攻击者的角度来看，有几个好处：

• 集中控制恶意软件。
• 协调攻击的特定地点。
• 即使设备重新启动或断开与互联网的连接，仍能控制受感染设备的能力。

为了阻止攻击者和设备之间的通信，安全团队应该：

• 获取IP地址。
• 保护C&C服务器的域名。（然而，如果应用了域生成技术，这就会变得具有挑战性。）

2. 僵尸网络控制

在计算无处不在和物联网时代，僵尸网络是由受恶意行为者控制并感染了恶意软件的主机集合。之前已确定，僵尸网络能够传播恶意软件、执行分布式拒绝服务攻击、窃取数据和发送垃圾邮件。

受感染的主机仅称为机器人，而C&C服务器称为僵尸网络主（bot masters）。由于C&C服务器的架构，可以通过局域网或互联网针对受感染的主机或其他连接的主机发起分布式恶意攻击。

通常，僵尸网络可以有两种基本的架构结构：

• 集中式
• 点对点（P2P）

这些结构由命令在C&C通道上传播的方式定义。在集中式僵尸网络中，机器人由一个中央C&C服务器控制，该服务器发送命令。在P2P网络中，僵尸网络命令在P2P覆盖网络中传播。

僵尸网络可用于多种分布式攻击，包括勒索、盗版和分布式拒绝服务（DDoS）攻击。尽管现在有更多针对僵尸网络的攻击渠道，但僵尸网络最初是通过Internet Relay Chat（IRC）传播的。攻击媒介包括被入侵的网站、文件共享网络、恶意电子邮件附件和漏洞攻击。

互联网连接的普及设备越来越多，这为僵尸网络提供了更大的攻击面和更多易受感染的主机。

3. 远程管理

远程管理是指远程管理网络或计算机系统的过程。通过远程管理工具，系统管理员可以从任何有互联网连接的地方访问和控制系统。

然而，在受感染的系统上，攻击者可以使用远程管理工具来执行C&C。例如，黑客可以访问受感染的系统并使用VNC（虚拟网络计算）等远程管理工具。然后，恶意软件可以接收命令以执行操作，例如下载其他恶意软件、加密文件或将窃取的信息发送回攻击者的命令与控制服务器。

有时，恶意行为者会使用已被黑客入侵或修改的合法远程管理工具。例如，他们可以使用流行的远程管理工具远程桌面协议（RDP）登录计算机并执行C&C。

黑客使用的5种常见命令与控制技术

1. 应用层协议：为逃避检测和网络过滤，威胁行为者使用应用层协议。他们通过协议流在客户端和服务器之间传输所有信息。他们遵循以下协议：
   • DNS
   • HTTP(S)
   • FTP/SFTP
   • 邮件协议
2. 数据编码：为了使确定传输内容的性质更加困难，威胁行为者会对数据进行加密。
3. 数据混淆：黑客会采用数据混淆技术，使安全团队更难介入。他们的目标是尽可能地使信息难以被发现和理解。因此，他们可能会使用隐写术、欺骗合法协议或在协议流量中添加垃圾数据。
4. 动态解析：黑客动态连接到命令与控制基础设施，以逃避传统的检测方法。他们使用的方法是：
   • Fast Flux DNS
   • 域生成算法（DGA）。
   • DNS计算
5. 加密通道：为了隐藏命令与控制通信，黑客有时会使用一种众所周知的加密方法。如果密钥是通过恶意软件配置文件生成或编码的，则可能会从中进行逆向工程。黑客在此处可使用的两种方法是：
   • 对称加密
   • 非对称加密

检测和防范命令与控制

为了应对C&C攻击，持续监控主机计算机活动并阻止已知的恶意域名是常见做法。

1. 基于网络的检测

基于网络的检测是指监控网络流量中是否存在C&C活动的迹象。基于网络的检测技术可以识别终端和远程服务器之间C&C流量特有的通信模式。

例如，如果一个服务器正在通过特定端口与多个终端通信并传输大量数据，则可能可以检测到C&C连接。

以下是一些在基于网络的检测中使用的技术：

• 网络流量分析。
• 深度包检测。
• 入侵检测系统。

机器学习也可以作为检测技术的基础。基于机器学习的检测使用算法来监控网络活动并识别表明C&C活动的行为模式。它们会检测以前未知的C&C流量模式，并相应地调整其攻击策略。

2. 基于主机的检测

基于主机的检测是对主机活动进行的跟踪。它可以利用以下工具：

• 文件系统活动
• 网络连接
• 系统日志

例如，可以使用系统日志来识别异常进程或出站网络流量的增加，这可能表明C&C入侵。基于主机的检测工具包括：

• 主机入侵检测系统
• 文件完整性监控软件
• 防病毒软件

这种技术基于这样一个观察：C&C攻击通常涉及在特定端点上安装恶意软件或其他恶意软件，这可以通过观察这些端点的活动来识别。

3. 黑名单

黑名单的运作方式非常直接：一旦发现恶意的IP地址、域名或URL，就会创建一个列表。为了降低受攻击的风险，随后使用黑名单工具阻止来自这些恶意域名的流量。此列表还可以实时更新。

黑名单可能包括：

• DNS
• 互联网协议地址
• URL（几乎所有互联网用户都曾遇到过恶意URL）。

当检测到来自被阻止IP地址的网络流量时，将重定向到一个更安全的网站，或者永久阻止该请求。

命令与控制的真实案例

1. 银行木马：“TrickBot”

TrickBots通常通过网络钓鱼邮件传播，可用于窃取包括银行凭证在内的个人信息。2019年，TrickBot恶意软件在针对美国、英国和加拿大金融机构的多次攻击中被使用。尽管安全专业人员和执法部门共同努力关闭了TrickBot网络，但恶意软件的作者仍在不断适应和改变他们的策略。两种对这类攻击至关重要的防御措施是多因素身份验证和反恶意软件软件。

2. 僵尸网络：“Mirai”

Mirai僵尸网络是2016年导致美国大范围互联网中断的大规模DDoS攻击的罪魁祸首。该恶意软件被用来感染易受攻击的物联网设备，从而创建了Mirai僵尸网络。

3. 恶意广告：“Kyle & Stan”

2014年发现的“Kyle and Stan”恶意广告活动是恶意广告如何通过可靠网站传播恶意软件和窃取个人数据的例子。该活动包含看似提供热门电视节目流媒体服务的广告，但当用户点击它们时，会出现一个试图用恶意软件感染他们计算机的网站。该恶意软件通过驱动器下载传播，旨在窃取私人数据。

C&C服务器如何利用受感染系统？

C&C服务器可以通过以下方式利用受感染的系统：

1. 窃取个人信息

可以复制或将敏感的公司信息（如财务文件）发送到攻击者的网站。

2. 关机

攻击者有能力关闭公司的一台或多台设备或其网络。

3. 重启

对受感染系统进行规律的关机和重启会干扰公司的正常业务活动。

4. 分布式拒绝服务

DDoS攻击通过网络流量过载服务器或网络。攻击者可以指示僵尸网络中的每个机器人向特定IP地址发送请求，从而堵塞目标服务器的流量。结果，合法流量被阻止访问被攻击的IP地址，这就像高速公路上的交通堵塞一样。此类攻击可能会导致网站瘫痪。

5. 使用看起来像真实内容的假域名

创建C&C服务器最常见策略之一是使用域名，这些域名模仿与当前活动相关的在线广告服务或网站的典型命名，或者模仿真实软件或电子邮件服务的模式。

C&C服务器如何隐藏其位置？

APT组织通常使用中介服务器来提高命令与控制服务器（也称为代理服务器）的隐蔽性和可用性。这些服务器充当中介，隐藏命令与控制服务器的实际位置。

一种隐藏C&C位置的常用方法是使用动态DNS服务，如VoIP、DynDNS等。通过这些提供商注册域名，攻击者可以保持匿名，因为不需要实际的联系信息。此外，如果目标的基础设施阻止了原始IP，则可以快速更改IP映射和域名。此类域通过短缓存（TTL）设置实现了这一点。

结论

近年来，命令与控制服务器越来越受欢迎，使组织能够更深入地了解其IT系统并更有效地管理它们。安全管理员可以从一个中心位置监控和控制基础设施，这是它们最有效的功能之一。这使他们能够及时检测潜在问题，并在它们成为消费者的问题之前实施解决方案。