详细内容或原文请订阅后点击阅览
C2 通信的演变:自定义 TCP 协议
文章 C2 通信的演变:自定义 TCP 协议最先出现在 Malware Patrol 上。
来源:Malware Patrol 博客简介
命令和控制(C2,C&C或CNC)服务器用于与网络中折衷的系统进行远程管理,控制和通信。它们使攻击者能够执行命令,剥离和/或加密赎金数据,并协调其他恶意活动。如果没有C2通信,则恶意软件的有效性和覆盖范围会受到极大的阻碍,即使没有完全消除。根据一些行业估计,有60%至70%的恶意软件变体依靠C2服务器进行通信。仅此统计数据就应该使我们了解它对安全团队及其工具的关键,以阻止和寻找C2流量。
HTTP/HTTP是通过TCP进行C2通信的首选协议,因为几乎所有组织都依靠网络流量来实现合法目的。 HTTP/S流量通常使用常见端口(HTTP的80端口,HTTPS的443)通常通过防火墙允许,这增加了绕过外围安全性的机会。
越来越复杂的检测方法正在帮助我们更容易识别众所周知的C2通信方法。毫不奇怪,攻击者已经根据我们的进步进行了适应。其更新的阿森纳中的某些工具包括假冒合法协议,以及使用自定义协议,非标准协议/端口配对和非应用程序层协议。我们的恶意软件巡逻队注意到的一种这样的技术是,通过TCP在使用非HTTP/S通信的过程中。
在这篇博客文章中,我们将通过探索对威胁检测和响应的影响并提供缓解策略的含义,专门关注我们数据中看到的这一趋势。有关C2S的更多一般信息,请查看我们以前的博客文章和MITER&CK的命令和控制策略主题。
发布 主题命令和控制频道:许多许多TCP选项
最常用的协议
其他通信方法
njrat