最近看了一篇介绍威胁情报文章(见附1),文章作者介绍了几款威胁情报分析平台。
我挨个点进去看了下,在其中一个来自于天际友盟平台中发现了一个名词“C&C节点”。我不懂什么是“C&C节点”,百度后在一款产品介绍(见附2)中找到了相关的介绍。(纠结为什么不翻墙谷歌的同学请绕路)
相关介绍裁剪掉商业自吹信息,剩余内容如下:
C&C
C&C服务器的全称是Command and Control Server,即“命令及控制服务器”。随着恶意木马产业的发展,很多木马早已摆脱了过去“单打独斗”的作战方式,而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,进行指挥的关键节点便是C&C服务器。
PS:个人认为,C&C服务器和被指挥的计算机(肉鸡)都应该算作是C&C节点。C&C服务器和肉鸡都有威胁。
.com顶级域名:C&C伪装首选
C&C服务器一方面可以接收被控制计算机(也被称为肉鸡)上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶能力,进而造成更大破坏。据了解,很多木马在连接C&C服务器的时候,会使用域名定位该服务器。
美国:黑客服务器首选藏匿地
每一个C&C服务器必须对应一个具体的IP之后,才能被木马访问。部分木马在代码中直接指定了服务器IP,而另一部分木马使用域名,这些域名经过解析之后,也能转换为服务器具体的IP信息。哈勃分析系统经过整理、统计木马直接访问和通过域名解析访问的两类C&C服务器IP,并通过IP查找服务器所在地区发现,美国以超过一半的比例成为C&C服务器数量最多的国家。通过分析直接使用IP地址访问C&C服务器的木马,还发现了与C&C服务器进行通信的两大常用端口——443端口和80端口。通过这两个端口传输的数据有很大几率会被防火墙、网关等网络安全设备放行。
Downloader类木马:C&C通信首选
通过分析从木马中自动提取出的威胁情报,可还原出了木马与C&C服务器进行通信的细节。根据特征可对木马分类,如:
-1. Downloader类木马: 从网络上下载恶意可执行文件;
-2. Worm_email类木马:通过电子邮件进行蠕虫式传播;
-3. Backdoor类木马:与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取帐号信息等。
附1:天际友盟平台
附2:腾讯管家下的一款产品介绍
附3:值得推荐的威胁情报平台–持续更新
附4:商吹信息提高的《报告》:
-1 《报告》显示,近期哈勃分析系统捕获的C&C服务器威胁情报数据总和超过1400万,日均近50万。
-2 《报告》数据显示,.com顶级域名仍然是大部分木马的首选。而在国家顶级域名中,中国的顶级域名.cn占据第一位。
-3 哈勃分析系统还原出了木马与C&C服务器进行通信的细节,并根据其中的重要特征对木马进行分类:
----3.1 Downloader类木马: 从网络上下载恶意可执行文件;
----3.2 Worm_email类木马:通过电子邮件进行蠕虫式传播;
----3.3. Backdoor类木马:与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取帐号信息等。