【C2架构】

C2架构

C2 架构也就可以理解为，恶意软件通过什么样的方式获取资源和命令，以及通过什么样的方式将数据回传给攻击者

使用的通信方式：
传输协议层 TCP、UDP
网络协议层 icmp（ping）
应用协议层 HTTP/HTTPS、FTP、DNS、SMTP
应用服务层 社交平台，网盘，消息推送服务

传输协议层

使用这层协议的恶意软件，不打个人终端，主要目标是关键基础设施的服务器，尤以 linux 为甚。原因有两个：

设备必须暴露在公网，传输协议层的恶意软件，都是被动监听。为了隐蔽性，往往不进行主动链接。
个人终端上有更好的C2方案。

其实不只是TCP、UDP，自数据链路层上，都可用户进行C2命令传输，处于内网渗透通信，使用 ARP 也不是不可能。但是如果网际数据传输，必须要传输层以上协议才可以。

基于 TCP/UDP 自定义协议网络通信分析

上线数据包：上线数据包中一般会包含受害主机的一些基本信息，例如计算机名称，硬件 ID，计算机版本信息等等内容，在传输之前，可能使用一些比较简单的自定义算法，或者 RSA、AES 这类成熟的算法进行加密。

对于加密数据的处理，需要确定的是是否有采用已知的算法，定位一些关键函数是非常快速的方法，以 Windows 程序为例:需要确定是否导入了 Crypt*系列的函数。如果有，查看 CryptGenKey、 CryptImportKey 函数来截获加密类型及加密密钥信息，查看 CryptEncrypt 函数来截获要加密的内容。如果没有导入这类函数，很有可能是采用了自定义的加密算法，最快的跟踪方法是定位到发送部分的函数，向前追溯，找到加密函数。

当发现无法连接到僵尸网络的主控服务器上(即 C&C 服务器)，为了让程序正常执行，并且捕获数据包，你需要对 C&C 服务器进行模拟

在分析恶意软件时，如果该恶意软件使用了域名作为连接的途径，我们可以在调试的过程中发现 gethostbyname 函数，我们可以修改其返回值为我们自己虚拟机的 IP 地址。在虚拟机上，我们可以运行 TCP 监听软件或者是 netcat，监听恶意程序需要连接的端口，直到其连接即可获取上线数据包中的内容。

根据 IDA 中解析命令数据包的代码来对整个命令包的数据格式进行分析，是了解功能的最佳途径，采用这种方法能够获取完整的指令表。

网络协议层

ICMP通信

应用协议层

C2 架构比较常用的：http/https、FTP、DNS、SMTP等等。
使用应用层协议进行C2通信最重要的是隐蔽性、其次才是传输效率和适用场景。
传输文件：
如果进行文件下发和数据上传，最常见的选择是http、ftp。为了增加隐蔽性，某些样本加上DGA.
指令下发：
指令下发，不需要太多的流量载荷。一些样本追求隐蔽性，使用DNS隧道技术。

网际通信：在一些隔离环境中，邮件服务器常常被列为白名单。可以使用SMTP协议，进行内外网的通讯。
局域网内通信：局域网内一般会有IDS进行检测，动作太大会被发现，除了常规使用的通信方法外，LPR、RAW网络打印协议也是比较好的选择。

以office 钓鱼为例，攻击者通过恶意宏或者漏洞利用，使用cscript、wscript或者powershell 从远端 HTTP 服务器拉取后门，进行安装执行。

HTTP是明文传输，恶意软件进行数据上传时，往往会对内容进行处理时，简单的如base64，xor；强度大一点的会使用非对称加密算法进行处理。

但是HTTP通信需要IP或者域名，如果资产被拉入黑名单，很容易被IDS检测出来。所以，某些APT 恶意软件使用了DGA生成算法。动态变化的域名。