恶意软件
命令与控制(C2)
别称: C2, C&C, 命令与控制服务器
定义
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
命令与控制(C2 或 C&C)指的是让攻击者在初始入侵后持续管理植入恶意软件的服务器、协议与流量模式。C2 通道用于下发命令、回传窃取的数据、推送新载荷以及协调对多主机的操作。运营者会使用 HTTP(S)、DNS 隧道、即时通讯应用、社交媒体账号、云 API 甚至合法 SaaS 平台来融入正常流量,并采用域名生成算法(DGA)、fast-flux DNS、重定向器和加密协议来增强韧性。防御措施包括出站流量过滤、DNS 分析、在合法的前提下进行 TLS 解密检查、NDR(网络检测与响应),以及通过执法行动或 DNS 黑洞瓦解 C2。
示例
- Cobalt Strike Beacon 使用的 HTTPS、DNS 与 SMB 管道 C2 通道。
- Conficker 每天生成数百个伪随机 C2 域名所用的 DGA 算法。
相关术语
僵尸网络
由受恶意软件感染、由攻击者远程控制以执行协同动作的联网设备组成的网络。
后门
绕过正常认证或访问控制、为攻击者提供未来进入系统通道的隐蔽机制。
远程访问木马(RAT)
一种使攻击者能够隐蔽、交互式地控制受感染设备的恶意软件,类似于隐藏的远程管理工具。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。