大家经常在看恶意软件分析的文章或者关于僵尸网络的报道时经常会看到有关 C&C 服务器的字眼,但是这个 C&C 服务器是什么呢?今天的主题就是带领大家轻松理解什么是 C&C 服务器。...C&C 服务器的全称是 Command and Control Server,翻译过来就是命令和控制服务器,那么他有什么用呢?...,发送你要执行的命令,在远程服务器接收到命令之后执行并将结果返回给你,这时你的本机电脑就是一个简易的 C&C 服务器,如图简单的解释上面的过程: ?...以上的整个过程就是一个简易 C&C 服务器的进化史,通常我们在网络上看到的文章说 C&C 服务器的 IP 地址或者域名,这里的 C&C 服务器说的就是上面的中转服务器,为什么是中转服务器而不是本地主机呢...那是因为中转服务器是恶意软件和僵尸网络的直连服务器,是最直接接触的服务器,通常在恶意软件分析或者僵尸网络分析的时候首先分析出来的,所有控制者发送的指令都是经过中转服务器发送到目标服务器的,今天就说到这里吧
在2019年9月份,Check Point的安全研究人员又发现了一个更新的版本,该版本竟然将一个小型C&C服务器的IP地址隐藏在了比特币区块链之中。...攻击者如何在比特币区块链中隐藏C&C服务器? 在这个真实的分析样本中,攻击者想要隐藏的IP地址为“185.203.116.47”。...Redaman恶意软件如何获取动态隐藏的C&C服务器IP地址? Redaman会根据上述介绍的算法进行反向计算并获取到隐藏其中的IP地址。...总结 在这篇文章中,我们介绍了Redaman如何高效地将动态C&C服务器IP地址高效地隐藏在比特币区块链中。...跟以往基于硬编码或静态编码IP地址来设置C&C服务器的方法相比,这种技术更加难以检测和防御。 入侵威胁指标IoC C&C服务器地址 ?
编译 注意:服务器是用Python 3编写的 为此您需要准备 1.Slack工作区 2.并为slack应用设置以下权限: channels:read channels:history channels:...read 创建一个机器人 这个仓库包含五个文件: install.sh 安装依赖 setup.py 用于创建通道,数据库的脚本 agent.py 用于生成后门的脚本 server.py Slackor服务器...Slackor help - 显示帮助菜单 interact - 与代理交互 list - 列出所有已注册的代理商 remove - 杀死并删除代理 revive - 向所有代理发送信号以重新注册服务器...Slackor:AGENT - 常用命令 - back - 返回主菜单 - beacon - 更改代理每次登记之间的时间(默认为5秒) - download- 将代理程序中的文件下载到Slackor服务器...该服务器旨在在Kali Linux上运行。代理程序是针对Windows,Mac和Linux编译的,但主要是使用Windows 10进行测试。
概括的说,该恶意软件不是像传统恶意软件那样直接反向连接到C&C服务器,而是跳跃在第三方服务器之间,以执行其恶意活动。
DNS隧道进行C&C通信 Dnscat2 ---- DNScat 堪称神器,因为它可以通过 DNS 协议创建 C&C 隧道,让攻击者更加隐蔽。...dnscat2是一个开源软件,下载地址:https://github.com/iagox86/dnscat2 它使用DNS协议创建加密的C&C通道,严格来讲它是一个命令与控制工具。...dns 隧道分为两种,一种是直连模式,就是dns通信目标受害机器直接连接到自己的VPS服务器(C&C) ?...第二种是中继模式,受害者机器首先会去请求互联网上的dns服务器,最后再指向自己的VPS服务器(C&C) ?...一、在一台外网VPS服务器上安装Linux操作系统(作为C&C服务器),并提供一个可以配置的域名 首先创建记录A,将自己的域名解析服务器(www.saulgoodman.club)指向VPS服务器,167
为了确保身份证的权威,办证单位必须是公安部门;在域名系统中也有权威的根域名服务器、权威域名服务器等。...【迭代查询】 本地域名服务器向根域名服务器查询,根域名服务器告诉它下一步到哪里去查询,然后它在根据结果逐层向下查询,直到得到最终结果。...每次它都是以DNS客户机的身份去各个服务器查询,即迭代查询是本地服务器进行的操作。...号端口发送到攻击者控制的DNS服务器 攻击者控制的DNS服务器接受到查询请求后,隧道服务端工具首先按照对应规则从请求数据包中提取C&C通信数据,并转发到事先设置好的C&C服务端对应的端口(也可以是另外的主机地址...五、总结与思考 本文方式实现的利用DNS隧道构建的隐蔽C&C信道较为隐蔽,因为DNS协议是当前网络中重要部分之一。大部分企业网络总会允许内网与指定DNS服务器(受信任)的查询、请求数据流量。
复现实验部分以C&C通信流量为例进入实验。通过SSH隧道进行加密和隐藏的C&C流量在外部流量特征分析仅表现为标准SSH流量。 ?...二、实验原理 本次实验使用Empire工具快速搭建C&C信道,本文只简要介绍对于Empire工具。在Windows平台下使用Plink.exe工具的SSH功能搭建SSH隧道。...本次实验使用Empire生成简单的PowerShell脚本,建立最简单的C&C通信。下面简单概括主要步骤。...7) 至此以成功使用SSH隧道传输C&C通信流量,后续可在此基础上设计实现其他C&C控制命令及其它恶意功能。...(2) 使用工具(如Empire、Metasploit等)构建C&C。 (3) 利用SSH的端口转发搭建SSH隧道。 (4) 配置C&C和SSH参数使二者配合实现加密、隐藏恶意流量的目的。
操作 shellcode 来创建一个 .exe 文件 我们在恶意软件运行时发现:它从受害者的计算机提取信息回调其C2服务器与目标执行所有的恶意行为。...创建一个名为“Plug1.dat”的文件 为之后的工作创建一个套接字 通过 “HKEY_LOCAL_MACHINE\SYSTEM\Setup”查询PC信息 毫无疑问就是Poison Ivy 那么问题来了C&...C服务器在何地?...由C&C服务器回传的主机名和IP地址可知,该服务器位于韩国首尔。 ?...图8.对 Poison Ivy 恶意软件的C&C服务器WHOIS 结论 这个APT攻击使用了多种变体,它先是欺骗受害者下载一个恶意VBScript,让这个VBScript去下载一个.doc文件并打开它。
C&C服务器,其全称为command and control server。我们在诸多文章中曾看到过,C&C服务器不仅可以为攻击者提供便利的资源管理平台,也可以保障其个人隐私安全。...今天,我们就通过一个几个C&C服务器的搭建实验教程让大家了解一下什么是C&C服务器,以了解如何应对利用C&C的攻击行为。...如下图所示: Web C&C服务器通信 故事 慢慢的,VPS服务器商场发现攻击者把一台VPS服务器当作C&C服务器。...Email C&C服务器通讯 故事 但是好景不长,有些攻击者发现这个微博号一直发一些奇怪的内容,深度挖掘之后发现这个微博号是一个C&C服务器。...实际上以上我提到的几个是C&C服务器只是非常基础的几个,还有URI C&C,Tor C&C,C&C of C&C,IRC C&C等,有时候我甚至有考虑过用QQ来做C&C。
关于LDAPFragger LDAPFragger是一款功能强大的命令控制C&C工具,可以帮助广大研究人员使用用户属性和LDAP来路由Cobalt Strike信标数据。...- Rindert Kramer Usage: --cshost: Cobalt Strike实例的IP地址或主机名 --csport: Cobalt Strike服务器的外部
jieluTox 是一个 P2P 型的无中心服务器消息传递系统,使用 NaCl 进行加解密。由于没有中心服务器,类似 BitTorrent,会使用 UDP 与 DHT 来查找在线端点。...【start_routine2 函数】 有很多 bash 命令十分可疑,例如执行 dig 使用 resolver4.opendns.com 作为 DNS 服务器请求查询 myip.opendns.com
C&C域名。...中国的白帽专家也可能知道.cn现在申请都得备案,所以C&C也不太可能用.cn的根域名当作C&C。...值得提醒的是,这些情况并非100%确定,比如C&C可能找到一个cn域名的下级域名当C&C而主域名已备案,这些需要机器综合考虑其他特征来判断。...对于“判断域名是否为C&C”的问题可以考虑: 对于真正的C&C域名能抓住多少,多少漏网?...不过现在C&C的域名越来越长,如果只看长于12个字符的C&C域名,预测效果还是很不错的。 值得提醒的是,测试数据的预测误差比交叉检验得到误差不同(一般测试的误差要大得多)。
运行平台 C&C服务器在Ubuntu 14.04、15.04和16.04能完美运行。...2.在成功连接到C&C服务器后,Monkey会从上面下载一个新的配置文件(默认config.bin)来覆盖原来的配置。我们可以通过C&C服务器那边的主控端的UI界面,来修改默认的配置文件。...运行CC服务器 为了运行C&C服务器,我们需要在特定的服务器上安装我们infected Monkey的debian包,而初始的Monkey机器并不需要直连到C&C服务器。...tunnel: ip:port, 为Monkey设置默认连接C&C服务器的隧道 -d, –depth : 设置Monkey当前的检测深度 Monkey是如何工作的 1.唤醒与C&C服务器的连接,向C&C...服务器发送当前机器的基本信息,以及Monkey使用的配置: 首次尝试直接连接到C&C服务器 如果直连失败,它会尝试通过隧道进行连接(默认隧道,或者多播请求其他Monkey响应得到的隧道) 如果没有连上C
Spamhaus 的研究人员发现跟踪的僵尸网络 C&C 服务器数量减少了 12%,活跃强度可能有所下降。...C&C 服务器数量 2021 年第二季度监测发现 1462 个 C&C 服务器,相比上个季度的 1660 个下降了 12%。月均值也从每月 553 个下降到 487 个。 ?...C&C 服务器位置 位于拉丁美洲的 C&C 服务器显著减少,其中哥伦比亚和阿根廷双双跌出前二十,巴西锐减 40%。只有巴拿马蹿升至第 13 位。 ?...相比拉丁美洲的显著下降,欧洲的 C&C 服务器数量在持续增长,前二十名新增了捷克、波兰和芬兰。与此同时,德国、法国、拉脱维亚和英国的 C&C 服务器数量也在增长。 ?...而 Mail.ru、DigitalOcean、Eurobyte 和 Telstra 托管的 C&C 服务器数量都在下降。 参考来源 Spamhaus ?
有意思的是,病毒除了可以通过C&C服务器进行更新外,还可以通过以太坊转账信息中的input字段内容临时更新C&C服务器地址,之后派发新的病毒模块到本地执行。...用来获取C&C服务器地址的以太坊钱包地址为:0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda,在获取C&C服务器地址时,只有该钱包地址向外(包括自己)的交易记录才会生效...,所以只有该钱包地址的拥有者才可以执行C&C服务器地址更新的操作。...C&C服务器地址,Linux和Winodws代码逻辑相同。...但截至到目前,黑客尚未通过此方式进行过C&C服务器地址更新。相关代码,如下图所示: ? 获取钱包交易记录信息 更新C&C服务器地址相关代码,如下图所示: ?
RSA 加密 AES 加密 C&C请求 恶意软件向 C&C 服务器发出的第一个 HTTP 请求是 knock,为带有 Cookie 的 POST 请求。...最后,恶意软件会定期向 C&C 服务器发出 ping请求。如果响应 _CRY就继续保持轮询,如果响应 _ACK就会包含继续执行的命令。...C&C命令 恶意软件使用一个特定线程与 C&C 服务器通信,并使用另一个线程来执行从 C&C 服务器接收到的命令。为了保持线程同步,恶意软件利用事件和互斥锁。...的信息发回 C&C 服务器 INFO 命令 UPEX:在失陷主机下载文件并执行(UPLD + EXEC) DNLD:将失陷主机的文件上传回 C&C 服务器 PROC:直接执行命令,不调用 cmd.exe...WoodySharpExecutor 支持恶意软件运行从 C&C 服务器接收的 .NET 代码, WoodyPowerSession 支持恶意软件执行从 C&C 服务器接收的 PowerShell 命令和脚本
C&C 控制 对恶意活动来说,最致命的就是夺取对 C&C 服务器的控制。研究人员修改了 KmsdBot 的样本文件,使其能够在受控环境下进行通信。...按图索骥 研究人员通过检查 sys.main.connect() 函数并输出反汇编代码,来确定存储 C&C 服务器的 IP 地址与端口的代码。...(sys.main.connect() 函数的反汇编) C&C 服务器的字符串存储在内存地址 0x00632f19,将其修改为受控环境的 IP 地址。就能够像 C&C 服务器一样发送攻击指令。...(改写 C&C 服务器地址) 改写后的 C&C 服务器是开放端口 57388 的 192.168.0.31。在这台主机上使用 Netcat 来模拟 C&C 服务器。...使用受控环境也能够复现这一问题: (复现重新发送格式错误的指令) (恶意软件崩溃) 格式错误的命令会导致与 C&C 服务器通信的所有恶意软件都崩溃,导致整个僵尸网络终止运行。
从C&C服务器获取恶意配置信息,相关代码,如下图所示: 从C&C服务器获取恶意配置信息 接收到的恶意配置信息,如下图所示: 接收到的恶意配置信息 根据C&C服务器下发的配置信息,下载执行其他恶意驱动模块...该病毒使用两种方式来判断是否弹出广告网页,第一种方式是在本地根据C&C服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给C&C服务器,由C&C服务器决定是否执行弹出广告网页的代码逻辑。...由C&C服务器判断是否弹出广告(pop.sys) 记录受害者访问的web网址,相关代码,如下图所示: 记录受害者访问的web网址 将网址发送给C&C服务器,等待服务器返回响应结果后,将相关信息插入等待列表中...相关代码,如下图所示: 向C&C服务器发访问网址数据 本地判断是否弹出广告(homepop.sys) C&C服务器下发的本地网址过滤规则,如下图所示: C&C服务器下发的的本地网址过滤规则 当网络过滤驱动检测到访问特定的网址时...C&C服务器下发的的网络请求。
另外在 C&C 服务器中也可以发现部分字符:radcall.bit、radbot.bit 与 rrradiusspace.bit。...安装成功后,恶意软件会与配置好的 C&C 服务器进行通信,C&C 服务器的地址由以下代码初始化: public static string[] valid = new string[]{ "pppoe.bit...DNS 解析成功后,恶意软件会 ping 每个 C&C 服务器,使用第一个响应的 C&C 服务器。...值得注意的是,作者加密了大部分字符串,除了 R 加密密钥、纯文本的 C&C 服务器地址和 DNS 服务器地址。...该样本文件的 C&C 服务器为: anyname.bit 控制面板 下图显示了 PsiXBot 的登录面板: ? 在 HTML 中可以发现以下代码: <!
C 为了获取可用的 C&C 服务器地址并开始通信,SysJoker 首先对硬编码的 Google Drive 链接进行解码。...文本文件的内容会随着时间的推移而变化,不断更新当前可用的 C&C 服务器。...△ CyberChef 解码示例 SysJoker 将收集到的用户信息发送到 C&C 服务器的 /api/attach作为初始握手。...C&C 服务器会回复一个唯一 Token,从此以后的恶意软件与 C&C 服务器通信,Token 将被用作标识符。...这就是 SysJoker 与 C&C 服务器保活获取指令的方式: △ 请求代码结构 如果服务器响应数据,SysJoker 解析接收到的 Payload 执行对应指令:exe、cmd、remove_reg
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
