什么是C2 服务器(Command and Control Server)
C2 服务器(Command and Control Server),即命令与控制服务器,是在网络攻击或恶意软件活动中用于控制和指挥受感染主机或恶意软件的服务器。
攻击者通过 C2 服务器向受感染的设备发送指令,例如窃取数据、执行特定操作、传播恶意软件、绕过安全机制等。受感染的主机定期与 C2 服务器通信,以获取新的命令和任务,并回传收集到的数据。
C2 服务器的通信方式可能会采用各种技术来隐藏和混淆其活动,以避免被检测和阻止。安全研究人员和防御者通常会努力识别和破坏 C2 服务器,以阻止恶意活动的持续进行。
C2 服务器的攻击技术多种多样,以下是一些常见的方式:
1. **僵尸网络攻击**:通过 C2 服务器集中控制大量受感染设备(也称为“僵尸”),形成僵尸网络。攻击者可利用该网络发起如垃圾邮件、网络钓鱼、DDoS(分布式拒绝服务)和加密货币挖掘等各种攻击,扩大攻击的影响范围。
2. **恶意软件攻击**:将恶意软件上传至 C2 服务器,再通过社会工程或漏洞利用等技术感染目标设备。一旦设备被感染,恶意软件会与 C2 服务器建立连接,接收指令以执行窃取数据、记录键盘操作或监视用户活动等恶意行为。
3. **数据泄露攻击**:借助 C2 服务器窃取敏感数据或受感染用户的个人信息。攻击者常使用社会工程技术或系统漏洞来访问目标设备,然后将窃取的数据传输至其控制的远程服务器。
4. **远程控制攻击**:C2 服务器使攻击者能完全掌控受感染设备,可在未经合法用户同意或知晓的情况下执行恶意操作,如安装恶意软件、更改系统设置、窃取敏感信息,甚至非法监视或破坏关键基础设施。
5. **域前置技术**:滥用云内容传递网络的功能来掩盖攻击者的真实地址、命令和控制来源以及数据泄露的去向。其关键思想是在不同的通信层使用不同的域名,DNS 查询以及 TLS(SNI)拓展中携带一个域名(前域),而在 HTTP Host 头中携带另一个域名(隐蔽的、被禁止访问的域名)。
6. **利用硬件缺陷**:某些现代 IT 系统中的基板管理控制器(BMC)存在能被攻击者利用的漏洞,攻击者可借此监视和管理固件及硬件设施,执行修改系统设置、重新安装系统或更新驱动等操作。
另外,2024年7月8日,俄罗斯网络安全公司 solar 旗下的 4rays 网络威胁研究中心发布的研究报告揭露了名为“liftingzmiy”的亲乌克兰黑客组织的攻击事件。该组织使用的部分攻击技术如下:
- **使用开源恶意软件**:如 reverse ssh,用于创建反向 shell 和命令服务器;ssh-it 用于拦截 ssh 会话中用户输入的命令;ssh-snake 蠕虫工具,可使用受感染计算机的 ssh 密钥进一步发展。
- **利用系统漏洞**:例如针对 tekon-avtomatika 公司生产的运行在 linux 内核上通用固件的 kun-ip8 控制器的安全漏洞,部署控制与通信(C2)服务器。这些控制器具备编写自定义 lua 插件的能力,且存在大量使用默认管理员凭据的设备,lua 插件能以 root 权限运行,可能导致具有超级用户权限的任意 bash 命令执行。
- **口令破解**:通过暴力破解口令的方式入侵基础设施。
- **多种工具增强隐蔽性**:使用如 mig-logcleaner 开源工具清理 linux 操作系统日志;利用 reverse ssh 工具创建反向 shell 连接以实现对受感染系统的隐蔽远程控制;使用 spacex 星链服务的基础设施增加攻击的复杂性和隐蔽性。
为了降低 C2 服务器攻击带来的风险,组织和个人可以采取多种策略,如实施行为模式分析、恶意软件签名检测、网络流量监控、系统日志分析,部署高级防御解决方案,加强网络安全协作和信息共享等。同时,及时更新系统、应用软件,加强用户认证和访问控制,以及培养用户的网络安全意识等措施也非常重要。
