Entry № 226
命令与控制(C2)
命令与控制(C2) 是什么?
命令与控制(C2)攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
命令与控制(C2 或 C&C)指的是让攻击者在初始入侵后持续管理植入恶意软件的服务器、协议与流量模式。C2 通道用于下发命令、回传窃取的数据、推送新载荷以及协调对多主机的操作。运营者会使用 HTTP(S)、DNS 隧道、即时通讯应用、社交媒体账号、云 API 甚至合法 SaaS 平台来融入正常流量,并采用域名生成算法(DGA)、fast-flux DNS、重定向器和加密协议来增强韧性。防御措施包括出站流量过滤、DNS 分析、在合法的前提下进行 TLS 解密检查、NDR(网络检测与响应),以及通过执法行动或 DNS 黑洞瓦解 C2。
● 示例
- 01
Cobalt Strike Beacon 使用的 HTTPS、DNS 与 SMB 管道 C2 通道。
- 02
Conficker 每天生成数百个伪随机 C2 域名所用的 DGA 算法。
● 常见问题
命令与控制(C2) 是什么?
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。 它属于网络安全的 恶意软件 分类。
命令与控制(C2) 是什么意思?
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
如何防御 命令与控制(C2)?
针对 命令与控制(C2) 的防御通常结合技术控制与运营实践,详见上方完整定义。
命令与控制(C2) 还有哪些其他名称?
常见的别称包括: C2, C&C, 命令与控制服务器。