C&C技术:从中心化到去中心化的演进
甘杰:启明星辰ADLab高级安全研究员
2
C&C起源:无序走向有序的开始
中心化时代:攻防对抗促进技术演变
泛中心化时代:匿名网络使其踪迹难觅
去中心化时代:一切皆CC
目录
3
C&C起源:无序走向有序的开始
无序 有序
80~90s
2000
年左右
病毒:多渠道感染、自我传播、无网络连接
黑客:放任自流、任其扩散
恶作剧
炫耀技术
破坏系统
可远程交互、
扩展、定制
趋利
集中控制
病毒:多渠道感染、自我传播、与黑客端建立连接
黑客:远程可控、一切皆在掌控中
黑客的动机
4
控制通道:黑客端与感染主机之间建立的1对多的通信信道
建立控制通道,形成控制网络
C&C起源:无序走向有序的开始
攻占
目标
持久化
建立
通道
维护
通道
• 指令下发
• 窃取信息
• 切换C&C
• 恶意代码更新
• 扩展组件下载
• ……
• 漏洞利用
• 钓鱼攻击
• 水坑式攻击
• 合法软件捆绑
• ……
• 病毒
• 僵尸
• 木马
• 蠕虫
• RAT
• ……
• 建立连接
• 上线
• 验证
• 心跳
• 控制指令
5
黑客端
通常由黑客所控制的一台配置有控制程序的主机和服务器。
也就是我们常说C&C、CNC、C2
Command & Control Server
C&C的作用
对无序传播的病毒进行统一控制
赃物存储据点
病毒的更新与功能扩展
......
C&C起源:无序走向有序的开始