@火凤凰
2年前 提问
1个回答

网络威胁情报c2通信控制有哪些特征

Ann
2年前

网络威胁情报c2通信控制有以下这些特征:

  • 回连地址:数以百计的威胁情报产品专门按照IPv4地址和域名提供已知的恶意位置。许多工具为你提供恶意回连地址的黑名单和警报依据。如果你已经在使用这类工具,那么在辨识未知/非预期的连接时,地理位置信息也可以派上用场。

  • 通信内容:多数恶意软件为逃避检测而采用加密通信。虽然这确实会使检测传输内容变得更加困难,但同时也为防御者提供方便之处——只需查找加密信息出现在哪些不应该使用加密通信的地方。为了掩人耳目,有些恶意软件会滥用常见协议,例如,通过TCP 80端口发送加密的HTTP流量,而TCP 80端口通常是不加密的。通信内容和通信协议的不匹配,可以作为一个重要的警报。元数据也是一种易被攻击者忽视的常用检测内容,例如,使用相同的用户代理(user agent)字符串或公共的头部信息,就是一种可疑的元数据。

  • 通信频率:攻击者若不是设法入侵了公开的服务器,是无法与恶意软件随时通信的,因为通信链路可能是不通的。因此,大多数恶意软件需要从内网主机向命令控制服务器发起连接,我们称之为“心跳”(beacon)。这类心跳一般按固定间隔发生,通常是每隔几分钟一次(通常由工作中的恶意软件发起),而且长达数月不间断(如果最初的恶意软件被删除,则通常会触发重新感染)。将通信频率作为识别模式来检索往往是可行的。

  • 持续时间:大多数恶意软件没有那么聪明,所发送的消息往往无趣。在某些情况下,恶意软件的通信并无实质内容,虽然通信内容是加密的。如果这种情况时常发生,就可以形成检测模式,例如,那些始终具有相同字节长度的空操作消息。

  • 特征组合:通常将单条特征作为检测条件并不充分,但多条特征组合使用就能达到效果。开发一种检测模式并找到对应的检测方法,需要投入时间,有时也需要一点运气。