前言

随着恶意软件和恶意攻击的产业化发展，网络攻击者大都不再使用单台主机实施攻击行为，取而代之的是操控一定规模数量的受害主机发动集体攻击。这不仅扩大了攻击效果，也分散了被发现和屏蔽的风险。攻击者对受害主机进行操控的关键技术之一就是C&C，更确切的说，是通过C&C服务器对受害主机进行操控。

C&C服务器不仅可以收集被害主机的信息，如操作系统、应用软件和开放端口等，还可以向被害主机发送控制指令，指使它执行某些恶意行为。攻击者也可以将被害主机作为跳板，通过其感染更多网络内的主机，最终由C&C服务器进行统一控制。

一、C&C会造成什么危害

当前，大多数网络边界防护手段比较有效，这使得攻击者很难从外部直接联系目标主机。然而，对于从内部发起的网络连接，往往却没有进行严格的限制，这就给了攻击者可乘之机。C&C通信过程针对这个“漏洞”进行了设计。当受害主机已经被植入恶意程序，通常该程序会建立一个出方向的连接，攻击者成功接触到内网主机后即可进行如下几种类型的操作：

横向移动

由于第一台被入侵的主机往往并不是很有价值的目标（这也很好理解，重要的目标肯定会严加防护，很难被直接攻击），所以攻击者会利用该主机作为跳板，获取网络中其他主机的信息，寻求在网络中进行横向移动的机会。攻击者会不断重复这个过程，直到获得对高价值目标的访问权和控制权。

机密数据盗取

由于C&C通信是双向的，所以攻击者不仅可以向被害主机发送指令，还可以令其发送机密数据给自己。在很多攻击事件中，攻击者往往会在盗取机密数据后，对受害者进行勒索，如果不支付相应的财物，攻击者就会散播或出售这些机密数据。

DDoS攻击

DDoS（distributed denial of service，分布式拒绝服务）攻击是由僵尸网络发起的一种恶意攻击行为。所谓僵尸网络，简单讲就是指已被恶意程序感染并被攻击者控制的一组主机，这些被感染的主机一般称为肉鸡。攻击者通过C&C服务器向肉鸡发送指令，即可对目标实施DDoS攻击。

APT攻击

APT（Advanced Persistent Threat，高级长期威胁）攻击往往是一个比较漫长的过程，攻击者有时会故意进行到某一阶段就停止。例如，攻击者通过C&C服务器获得某些主机的控制权后，并不实施犯罪行为，他可能会潜伏下去，以寻找更好的攻击时机，也可能寻找感兴趣的买家，将C&C服务器和被害主机打包出售给他。

二、C&C的通信方式

C&C通信过程中包含两个重要角色：C&C服务器和C&C客户端。C&C服务器是由黑客控制的主机，C&C客户端就是被植入恶意程序的受害主机。C&C服务器不仅可以收集C&C客户端的信息，如操作系统、应用软件和开放端口等，还可以向C&C客户端发送控制指令，指使它执行某些恶意行为。攻击者也可以将C&C客户端作为跳板，通过其感染更多网络内的主机，扩大C&C客户端的规模。

一般来讲，恶意程序可以通过钓鱼邮件、恶意网站、伪装成正常软件等方式感染受害主机。由于感染的过程充满随机性，攻击者并不能预测到哪些主机被感染，所以需要恶意程序主动联系C&C服务器。恶意程序会保持和C&C服务器的联络，并在断线的时候重新发起连接。

下面介绍几种常见的C&C通信方式：

通过IP地址访问C&C服务器

这是最常见的一类C&C服务器。攻击者在恶意程序里硬编码写上C&C服务器的IP地址，然后C&C客户端会发送通信请求给此IP地址。这种方法很简单，但是很容易被发现，一旦网络管理者封禁这个IP地址，C&C客户端就不再受攻击者控制了。

通过域名访问C&C服务器

在恶意程序里硬编码写上C&C服务器的域名，以此代替IP地址，这个方法可以起到一定隐蔽作用。但是，这种方法也比较容易被发现，网络管理者同样可以封禁这个域名，使C&C客户端不再受控制。

Fast-flux

Fast-flux是一种不断改变域名和IP地址映射关系的技术。这提升了C&C服务器IP地址或域名被发现的难度，即使发现了几个，也难以屏蔽所有的组合。但这也只是提高了挖掘难度而已，并不是难以发现，例如网络管理者可以利用较短的TTL时间来挖掘出所有的IP地址和域名组合。

使用网站或论坛作为C&C服务器

攻击者在一些论坛的冷门区域或者在热门网站上发送C&C控制指令，然后让恶意程序通过爬虫的方法获取指令。这种方法很难发现，但是相对比较好处理，只需举报给相应的网站，封禁涉及到的账号即可。

使用DGA生成随机域名

DGA即域名生成算法，通过此算法可生成大量的随机域名，C&C客户端即是对这些随机域名进行访问。这是当前比较主流的一种C&C通信方法，由于域名是随机生成的，所以较难发现和防御。一般通过机器学习的方法对DGA域名进行检测，自动将域名加入黑名单或阻断相关流量。

三、如何检测并防御C&C

C&C的攻防要点在于：攻击者能不能成功隐藏C&C服务。如果网络管理者发现了隐藏的C&C服务，即可使用技术手段切断C&C通信，然后再对受害主机进行处理。

下面介绍几种检测C&C的思路：

外发流量

大多数网络安全防御措施关注的是传入流量中是否包含威胁，较少关注外发流量。这恰恰是C&C的优势，连接基本是由受害主机发起，所以后续很多交互过程和下载恶意程序的行为都不会被阻止。对于这种情况，可以在网关上配置一些规则，对由内到外的流量进行检测，防止其处于无监管的状态。

信标

恶意程序感染主机后会发送一个信标，通知攻击者已成功部署。此后，恶意程序可以在系统上闲置，定期向C&C服务器签入以获取进一步指令。也可以作为一种心跳发送，以通知攻击者该主机处于活动状态。

日志

网络管理者可以尽可能多的收集相关日志，并对这些日志进行分析。在过去，大都依赖安全分析师从海量日志中查找不寻常的信息，例如看似没问题的HTTPS或DNS请求中可能就包含着恶意程序文件。当前，已经有很多安全产品/系统支持对海量日志进行智能分析，这大大提高了分析和处理的效率。

关联分析

有时攻击者将恶意行为隐藏的非常巧妙，网络管理者很难从单一的事件中发现威胁。此时，可以从网络整体角度对收集到的海量数据进行分析，从中寻找相关数据的关联性，挖掘出隐藏的恶意行为。

由于C&C技术主要用于恶意程序感染主机之后，所以我们更倾向于引导人们事前的安全行为和安全意识，下面是一些防范建议：

尽量从正规网站下载软件，不要从小型网站、网盘、论坛等渠道下载软件。

主机安装安全软件，定期扫描系统，防止病毒、木马的入侵。

及时升级或更新各种软件和系统，防止出现基于已知漏洞的攻击。

加强网络安全建设，提高攻击入侵难度，拦截绝大多数攻击和威胁。

原创 网络民工