高級威脅活動(dòng)中C2的多樣風(fēng)格

網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會(huì)暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營資源代價(jià)與安全算力高級威脅活動(dòng)中C2的多樣風(fēng)格安天|安全研究與應(yīng)急處理中心C2是什么?命令控制：基礎(chǔ)設(shè)施C2的多樣風(fēng)格高級威脅行為體的復(fù)古與新潮C2的檢測發(fā)現(xiàn)多樣風(fēng)格的抽象與持續(xù)的獵殺捕獲網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會(huì)暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營C2是什么?命令控制：基礎(chǔ)設(shè)施C2在網(wǎng)空殺傷鏈中位于關(guān)鍵位置二C2是什么?命令控制：基礎(chǔ)設(shè)施二二二工二二二二二二https://attackmitre.o安天研究院2021年10月評制基于OODA循環(huán)C2在網(wǎng)空殺傷鏈中位于關(guān)鍵位置與技戰(zhàn)術(shù)遍歷觀察展開展開投放投放利用安裝行動(dòng)成目標(biāo)徑門用口流量使議使用郵件協(xié)議使用使用設(shè)標(biāo)準(zhǔn)編碼非標(biāo)準(zhǔn)編碼使用垃圾數(shù)據(jù)使用隱寫術(shù)域名FastFluxDNS稱加法使用內(nèi)部代理使用外部代理使用多跳代理端口C2節(jié)點(diǎn)文擊者自建服務(wù)器法網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會(huì)暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營02高級威脅行為體的復(fù)古與新潮APT組織入侵網(wǎng)站作為C2——廣域網(wǎng)/公網(wǎng)·安天發(fā)布《Kimsuky組織針對韓國新聞行業(yè)的釣魚活動(dòng)分析》·Kimsuky首先入侵了網(wǎng)站，然后上傳Webshell及其他攻擊活動(dòng)中所需要的組件到web服務(wù)器。·C2的有效時(shí)間不固定，C2的狀態(tài)是變化的，需要持續(xù)的觀察，無法直接作為loC指標(biāo)。C2C2節(jié)點(diǎn)攻擊者自建服務(wù)器C2信息傳遞點(diǎn)C2情報(bào)傳遞點(diǎn)用域名前通過可移動(dòng)介質(zhì)通信使用垃圾數(shù)據(jù)使用加密信道模擬合法協(xié)議使用備用信道創(chuàng)建多級信道使用對稱加密算法使用非對稱加密算法橙色表示攻擊方使用的基礎(chǔ)設(shè)施和受害者受害者廣域網(wǎng)/公網(wǎng)設(shè)施T越來越多APT組織利用DDR作為C2——廣域網(wǎng)/公網(wǎng)Mykeyboarddoesntwork..h.0U地址videotest越來越多APT越來越多APT組織利用DDR作為C2——廣域網(wǎng)/公網(wǎng)竊密攻擊活動(dòng)分析》<divclaa='colmn-r1ght-outeBcaiyclaag-'colnn-rightkdivcless-'widget-cnetahttp-equiy-"Content-Type"content-"text/htal;cherset-utf-8"><scriptlanguage-"VB,v2-W=R”3v-*eL”d/ugd/73cceb_4906e用DNS計(jì)算使用域名前置使用加密信道法準(zhǔn)爐T1105F三F被控路由器流量轉(zhuǎn)發(fā)[44674473:423565510VPN連接攻擊者使用隱寫術(shù)使用對稱加密算法模擬合法物議使用非對稱加密算法橙色表示攻擊方使用的基礎(chǔ)設(shè)施和受害者使用備用信道信紅色表示攻擊方使用的C2節(jié)點(diǎn)、Payload和技術(shù)點(diǎn)→橙色箭頭表示C2整體的鏈路公設(shè)備(95%),剩余是路由器和其他設(shè)備。被Cnerewatp美國CIA自建C2基礎(chǔ)設(shè)施控制平臺(tái)蜂巢(Hive)——廣域網(wǎng)/公網(wǎng)·2017年11月9日，維基解密美國CIA自建C2基礎(chǔ)設(shè)施控制平臺(tái)蜂巢(Hive)——廣域網(wǎng)/公網(wǎng)報(bào)文報(bào)文C2節(jié)點(diǎn)攻擊者自建服務(wù)器C2信息傳遞點(diǎn)使用對稱加密算法使用對稱加密算法法紅色表示攻擊方使用的C2節(jié)點(diǎn)，Payload法橙色箭頭表示C整體的錯(cuò)路入侵內(nèi)網(wǎng)服務(wù)器、或使用可移動(dòng)設(shè)備作為C2——局域網(wǎng)/內(nèi)網(wǎng)2信使用加虛信法非標(biāo)準(zhǔn)編碼T1071→利用可移動(dòng)設(shè)備作為C2突破隔離網(wǎng)絡(luò)——局域網(wǎng)/內(nèi)網(wǎng)震網(wǎng)(Stuxnet)可移動(dòng)存儲(chǔ)媒介傳播：利用快捷方式解析漏洞MS10-04火焰(Flame)可移動(dòng)存儲(chǔ)媒介傳播：利用快捷方式解析漏洞。建立U盤隱巴基斯坦、印尼、越南等國?？梢苿?dòng)存儲(chǔ)媒介傳播：疑似未知0day。U盤開辟自定義加密俄羅斯、中國、伊朗等國?？梢苿?dòng)存儲(chǔ)媒介傳播：將U盤設(shè)置成自動(dòng)運(yùn)行(盤中創(chuàng)建文件“thumb.dd”存儲(chǔ)竊密數(shù)據(jù)。五角大樓，及其他國家目標(biāo)。穹頂7(Vault?)沖擊鉆：劫持光盤刻錄軟件，向光盤PE文件注入載荷BadUSB:該USB設(shè)備插入后能模擬鍵盤按鍵，執(zhí)行腳本或隨U盤攜出傳回CIA。美方認(rèn)為的攻擊目標(biāo)。水蝮蛇一號(hào)美方認(rèn)為的攻擊目標(biāo)。利用可移動(dòng)設(shè)備作為C2突破隔離網(wǎng)絡(luò)——局域網(wǎng)/內(nèi)網(wǎng)隔離網(wǎng)絡(luò)的Ramsay組件分析》是否包含指令，是則讀取載荷目標(biāo)內(nèi)部網(wǎng)絡(luò)目標(biāo)內(nèi)部網(wǎng)絡(luò)黑客建立持久化駐點(diǎn)登時(shí)“TramsayAPT29基于域名前置的隱蔽通道作為C2,通過Tor隱藏C2節(jié)點(diǎn)——Tor洋蔥路由信道信道協(xié)議報(bào)文基礎(chǔ)設(shè)施C2節(jié)點(diǎn)受害者使用垃圾數(shù)據(jù)法創(chuàng)建多級信道通過可吏用加密信道原有信原有信所以很難追蹤到威脅操作者的分片\亂序廣域網(wǎng)/公網(wǎng)攻擊者自建服務(wù)器受害者受害者C2信息傳遞點(diǎn)編碼數(shù)據(jù)遠(yuǎn)程訪問軟遠(yuǎn)程訪問軟使用協(xié)議隧道通過可移動(dòng)介質(zhì)通通過可移動(dòng)介質(zhì)通信使用加密信道使用垃圾數(shù)據(jù)使用對稱加密算法使用對稱加密算法使用非對稱加密算法模根合法協(xié)議創(chuàng)建多級信道創(chuàng)建多級信道APT34的C2作為C2。HA目標(biāo)行業(yè)武備裝備攻毒手法.NETRockatWan/Mimikat:/NBTSeiPowerShell/PowerShellMiamiBeach/PsEMImikatz/NBTScan/.NETPOSPoworshallPoseehaltmpin/Pttsee:4CVE201701SCv.2017-11引自安天《2019年網(wǎng)絡(luò)安全威脅回顧與展望》網(wǎng)絡(luò)空間威脅對抗與防御技術(shù)研討會(huì)暨第九屆安天網(wǎng)絡(luò)安全冬訓(xùn)營C2的檢測發(fā)現(xiàn)多樣風(fēng)格的抽象與持續(xù)的獵殺捕獲案例C2特點(diǎn)使用代理，隱藏真實(shí)C2流量側(cè)、情報(bào)側(cè)釣魚分析獵殺發(fā)現(xiàn)案例二：利用DDR信息傳遞點(diǎn)作為使用合法Web服務(wù)，規(guī)避檢測流量側(cè)載荷Payload文件檢測發(fā)現(xiàn)案例三：利用入侵的IoT網(wǎng)絡(luò)設(shè)備作為C2使用非應(yīng)用層協(xié)議，利用IoT設(shè)備作為流量代理轉(zhuǎn)發(fā)流量側(cè)、情報(bào)側(cè)設(shè)備取證發(fā)現(xiàn)案例四：自建C2基礎(chǔ)設(shè)施控制使用加密信道、使用隱寫術(shù)、使用多跳代理情報(bào)側(cè)發(fā)現(xiàn)案例五：入侵內(nèi)網(wǎng)服務(wù)器、或使用可移動(dòng)設(shè)備作為C2利用入侵內(nèi)網(wǎng)服務(wù)器作為代理，使用可移動(dòng)介質(zhì)帶入帶出終端側(cè)、流量側(cè)內(nèi)網(wǎng)橫向移動(dòng)發(fā)現(xiàn)案例六：通過域前置，通過Tor隱藏C2節(jié)點(diǎn)使用域名前置隱藏信道，使用Tor洋蔥路由隱藏C2節(jié)點(diǎn)終端側(cè)、流量側(cè)后門載荷發(fā)現(xiàn)案例七：利用衛(wèi)星通信作為C2利用衛(wèi)星原有信道通信情報(bào)側(cè)發(fā)現(xiàn)后門中的IP屬于衛(wèi)星范圍案例八：入侵其他組織C2作為C2將其他APT組織的C2基礎(chǔ)設(shè)施據(jù)為己有流量側(cè)、情報(bào)側(cè)對比分析C2分發(fā)的載荷發(fā)現(xiàn)目前已覆蓋168項(xiàng)，目前已覆蓋168項(xiàng)，偵察(10)資源開發(fā)(7)行載刪二二…二三二11證有刪二二…二三二11證有**m三三二二基于對載荷文件的檢測可以大幅度的提升威脅框架的覆蓋度F口口東b基證rdd的的pp環(huán)環(huán)nn理網(wǎng)m基于流量側(cè)部署的安天探海威脅監(jiān)測系統(tǒng)的可輸出的攻擊動(dòng)作標(biāo)簽使用內(nèi)部代理使用外部代理2信息傳遞點(diǎn)使用城名前置繪碼數(shù)據(jù)P標(biāo)準(zhǔn)編碼利用遠(yuǎn)程訪問軟件使用內(nèi)部代理使用外部代理2信息傳遞點(diǎn)使用城名前置繪碼數(shù)據(jù)P標(biāo)準(zhǔn)編碼利用遠(yuǎn)程訪問軟件單標(biāo)準(zhǔn)編碼使用協(xié)這照道星清數(shù)據(jù)使用的規(guī)數(shù)據(jù)位周險(xiǎn)寫術(shù)使用對稱加密模法情報(bào)側(cè)(獵殺)基礎(chǔ)設(shè)施定位觀察