网络安全——通过指挥与控制系统进行攻击

C&C服务器，也就是指挥与控制服务器，本质上是一种能够控制黑客或任何网络犯罪分子的计算机设备。 这种手段被恶意利用，用于控制那些已经被恶意软件攻击或破坏的各种系统。这些服务器还被用来从目标网络中被攻破的机器中秘密获取所需的数据。 现在，由于C&C服务器能够轻松地在目标网络中移动并融入其中，因此许多组织开始使用各种基于云的服务。

C&C系统是如何运作的？

在本节中，我们将讨论各种用于指挥和控制的技巧。

1.在最近十年里，出于报复性的网络攻击行为越来越常见。其中最具有破坏性的攻击方式之一，就是通过DNS协议进行的攻击。这种攻击通常是通过控制节点来实施的，这些控制节点也被称为C2或C&C节点。

2. 黑客首先通过利用目标组织内部的计算机设备来发起攻击。这些计算机设备可能位于防火墙之后。这种攻击方式有很多种可能性。

• 通过网络钓鱼手段。
• 通过浏览器插件中的漏洞来实现。
• 通过在受害者的计算机上执行各种恶意程序或应用程序来实现。

3.此后，当目标网络上的计算机被攻破并建立了连接之后，被利用的机器就会向攻击者发送信号，以请求进一步的指令。

4. 这台被攻击的机器将会执行来自黑客的C&C服务器的后续指令，同时还可能强制下载其他用于进一步攻击的软件。

5.现在，黑客已经成功控制了受害机器的完全控制权，因此他们可以在其上运行任何类型的恶意代码。同样，这些恶意代码还可以轻松地在网络中传播，从而彻底破坏一个组织的整个IT基础设施。最终，这将导致形成一个由已被感染的机器构成的网络，也就是所谓的“僵尸网络”。

6.通过这种方式，黑客可以完全获取对目标网络的未经授权的访问权限。

7.C&C服务器充当了攻击中使用的恶意软件的“基地”。这些恶意软件会递归地报告所截获或窃取的数据。此外，各种用于支持攻击的命令也会被存储在该服务器上。在那种类型的攻击中，建立C&C连接是至关重要的步骤，因为只有通过这种连接，才能在网络中实现有效的控制。

8.C2服务器还充当了那些已被利用的机器在僵尸网络中的“总部”。这些服务器可以被用来发送各种命令，比如获取信息、传播恶意软件、破坏网络服务等等。其潜在的用途简直无穷无尽。

9.除了让攻击者能够获取信息之外，C&C程序的存在还可能干扰正常的应用程序运行，从而导致未来资源的滥用。

C&C服务器中的僵尸网络架构

集中式模型：这是一种网络模型，其中所有客户端都与一个中心系统进行交互。这个中心系统实际上就是负责处理所有通信的“操作者”。

• 这个系统/服务器会同时存储相关信息和客户账户数据。
• 大多数开放式短信交流场景都采用了统一的组织方式。
• 此外，这种结构也被称为“集中式大型机结构”。

2. 点对点模型：点对点计算或系统管理是一种分布式应用设计方式，它允许在各个节点之间分配任务或处理任务。

• 那些被连接的节点或对等体同样受到青睐，它们都是该应用中的等效成员。
• 据说，它们构成了一个由多个中心节点构成的共享组织结构。
• 这些节点会自行处理一些任务，比如提供电力、存储数据或组织数据传输等。这些功能对其他节点来说都是可以直接使用的，无需通过中央服务器进行协调。
• 在Peer模型中，双方都是资产的提供者和购买者，而不是那种传统模式下，资产的使用与分配是分离开来的模式。
• 正在开发的合作性P2P框架已经超越了仅由朋友之间共享资源的阶段。现在，这些框架正在寻找能够带来独特资源与能力的合作伙伴，从而让虚拟网络能够参与更多复杂的任务。这些任务远远超出了单个朋友所能完成的范畴，但它们对所有的参与者来说都是有益的。

3. 随机模型：这种任意指定的地理范围中的僵尸网络并不依赖于任何C&C服务器。实际上，所有的僵尸网络指令都是合法地发送的——首先从一个僵尸机器开始，然后依次传递给下一个僵尸机器。之所以这样做，是因为有一些特殊的方法可以用来判断某个僵尸机器是否属于该僵尸网络的一部分，从而确认它确实来自僵尸网络的发起者或某个被授权的用户。

• 这类僵尸网络具有极高的潜伏能力，通常需要识别出僵尸网络中的多个机器人才能被分析师识别出来。
• 在开放的分布式网络中，通常会使用一些特殊的机器人程序来实现机器人与机器人的通信。这些程序与更复杂的C&C服务器系统相关联（例如，在TDL-4僵尸网络中）。通过这种方式，可以创建出那些难以被摧毁的僵尸网络。

利用C&C服务器进行攻击的技巧

• 信息窃取：比如，那些敏感的信息，比如预算记录，很容易被复制或转移到黑客的服务器上。
• 结束/终止：侵略者可以关闭一台或几台机器，或者无论如何，都可以摧毁整个组织的网络。
• 重新启动：那些被利用的PC，可能会突然无故地关闭并重新启动。这种情况会干扰正常的任务执行过程。
• 分发拒绝服务攻击工具：DDoS攻击是通过向服务器发送大量请求来使其不堪重负，或者因为互联网上的流量过大而导致服务器无法处理请求。一旦建立了僵尸网络，攻击者就可以指挥每个僵尸程序向目标IP地址发送请求，从而在目标地址或服务器上造成大量的请求拥堵。这样一来，正常的流量就无法被处理。这种攻击方式可以用来使网站无法正常运行。

C&C检测

在不间断监控的情况下，对所有进出网络的流量进行观察。该控制措施明确要求，在漏洞被利用的转移过程中，必须严格监控那些未经授权的信息交换行为。

2. 识别网络流中的异常现象：该控制方式建议检查组织内部的网络流量中的不一致之处，这些不一致之处可能表明存在恶意软件的活跃行为（例如，C2通信的异常）。或者，这些不一致之处也可能表明有机器已经被利用来实施恶意活动。

3. 记录DNS查询信息，并实施信誉检查机制：该控制机制要求检查DNS请求，以识别那些可能属于恶意活动的区域，或者试图进行C2通信的行为。

4. 利用抵制行为：通过抵制措施，可以阻止那些来自内部系统的、针对已知恶意主机的通信。

5. 管理组织内的交通状况：将组织的流量以及相关的警告信息记录下来，以便后续进行更深入的分析和评估。同时，还需要对网络流量数据进行分析，以发现异常行为。

6. 区分网络中未经许可的加密行为：这里的推理是，恶意软件可能会利用加密技术来窃取敏感信息，从而绕过那些依赖于对网络流量内容进行分析的工具包（例如，DLP工具）。

7. 阻碍进入：阻碍对已实现的记录移动以及电子邮件数据泄露情况的访问。正在寻找交通拥堵时出现的异常情况。

8. 正如信任区所显示的那样，组织的结构被分割成了多个独立的单元。这种做法尤其有成效，因为可以通过这种方式，将企业中那些风险较高的部门与那些价值较高的部门严格区分开来。

9. 确保客户能够顺利使用内部的DNS服务器。确保客户能够质疑内部DNS服务器的行为。这些服务器可以被监控，其响应也可以被控制，从而例如防止访问那些已知为恶意或未经授权的区域。

C&C的操控方式

对所有进出网络的流量进行监控：更明确地说，必须仔细审查入站流量，以发现可能引发数据泄露的黑客行为。例如，那些通过驱动式下载或网络钓鱼手段进行的攻击行为。同时，还需要对出站流量进行分析，以发现是否存在用于窃取信息的通道（如信息泄露、指挥与控制等）。

2. 识别并分析该组织内部网络流量的特点：其推理是，有针对性的攻击方式依赖于一种较为容易被忽视的基础结构，这种结构往往与那些具有破坏性的目标或用于实现C2目标的手段相关。而C2手段其实也是被各种恶意软件所利用的手段。 在那个时候，通过识别异常流量，保护人员就能及时发现这些新的威胁。 该提案基于两个基本假设：直接攻击会导致交通混乱，而混乱的交通状况则意味着需要采取特殊的处理方式来处理这种情况。 这两种假设可以时不时地被重新审视一下。我们已经看到，侵略者正在不断发明新的手段来“融入”到正常的交通中；随着新的管理和设备的出现，某个组织中的交通状况也可能会发生变化。

3. 收集组织流量的具体子集：需要收集与组织网络流量相关的具体信息，尤其是与DNS相关的问题以及网络流量数据。提出这一建议的动机是：与建立完整的组织检查框架相比，收集这类信息可能会更加简单。正如我们的调查所显示的那样，已经有一些方法可以用来根据这些信息来识别C2流量。

4. 对组织进行改造/优化：对组织进行优化设计有助于改善交通监控以及应对各种突发事件的反应能力。例如，通过设置一个单一的交通枢纽点，让所有车辆都经过该点，那么整个交通流就可以被重新安排，从而提升应对突发事件的能力。

5. 网络动作类屏幕显示：这有助于区分那些已知会被用于攻击的端点，也就是那些被明确标记为潜在攻击目标的位置或地址。其原理是：只要采取相应的安全措施（例如设置防火墙），就可以避免这些端点被利用来发起攻击。显然，这里的重点在于如何创建并维护一套有效的、能够抵御攻击的防御机制。