C&C节点是什么?
最近看了一篇介绍威胁情报文章(见附1),文章作者介绍了几款威胁情报分析平台。
我挨个点进去看了下,在其中一个来自于天际友盟平台中发现了一个名词“C&C节点”。我不懂什么是“C&C节点”,百度后在一款产品介绍(见附2)中找到了相关的介绍。(纠结为什么不翻墙谷歌的同学请绕路)
相关介绍裁剪掉商业自吹信息,剩余内容如下:
C&C
C&C服务器的全称是Command and Control Server,即“命令及控制服务器”。随着恶意木马产业的发展,很多木马早已摆脱了过去“单打独斗”的作战方式,而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,进行指挥的关键节点便是C&C服务器。 PS:个人认为,C&C服务器和被指挥的计算机(肉鸡)都应该算作是C&C节点。C&C服务器和肉鸡都有威胁。
.com顶级域名:C&C伪装首选
C&C服务器一方面可以接收被控制计算机(也被称为肉鸡)上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶能力,进而造成更大破坏。据了解,很多木马在连接C&C服务器的时候,会使用域名定位该服务器。
美国:黑客服务器首选藏匿地
每一个C&C服务器必须对应一个具体的IP之后,才能被木马访问。部分木马在代码中直接指定了服务器IP,而另一部分木马使用域名,这些域名经过解析之后,也能转换为服务器具体的IP信息。哈勃分析系统经过整理、统计木马直接访问和通过域名解析访问的两类C&C服务器IP,并通过IP查找服务器所在地区发现,美国以超过一半的比例成为C&C服务器数量最多的国家。通过分析直接使用IP地址访问C&C服务器的木马,还发现了与C&C服务器进行通信的两大常用端口——443端口和80端口。通过这两个端口传输的数据有很大几率会被防火墙、网关等网络安全设备放行。
Downloader类木马:C&C通信首选
通过分析从木马中自动提取出的威胁情报,可还原出了木马与C&C服务器进行通信的细节。根据特征可对木马分类,如: -1. Downloader类木马: 从网络上下载恶意可执行文件; -2. Worm_email类木马:通过电子邮件进行蠕虫式传播; -3. Backdoor类木马:与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取帐号信息等。
附1:天际友盟平台 附2:腾讯管家下的一款产品介绍 附3:值得推荐的威胁情报平台--持续更新 附4:商吹信息提高的《报告》: -1 《报告》显示,近期哈勃分析系统捕获的C&C服务器威胁情报数据总和超过1400万,日均近50万。 -2 《报告》数据显示,.com顶级域名仍然是大部分木马的首选。而在国家顶级域名中,中国的顶级域名.cn占据第一位。 -3 哈勃分析系统还原出了木马与C&C服务器进行通信的细节,并根据其中的重要特征对木马进行分类: ----3.1 Downloader类木马: 从网络上下载恶意可执行文件; ----3.2 Worm_email类木马:通过电子邮件进行蠕虫式传播; ----3.3. Backdoor类木马:与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取帐号信息等。
前人留下的网络资料有解决1.9版本的这个问题,但对2.14版本已经不再适用。前人资料:http://www.cnblogs.com/fenpho/p/6208896.htmlhttp://www.cnblogs.com/xunzhiyou/p/5028789.html实际操作后,修改/etc/profile文件后,重新开始GitBash并没有生效。由于Git的默认路径在C:\Users\Admin
thinkphp6设置Content-type解决header添加不生效问题原生php只需要加入header就可以实现输出各种格式的文件内容,如header("Content-type:text/css");然而,在thinkphp6中却不能生效。response总会自动的将内容以网页的形式输出。即自动添加<html>、<body>等标签,无法达到预期的效果。tp6框架中提
Gtest官方使用文档英文文档获得方式:框架生成的执行文件,在命令行--help即可获得。中文翻译版本操作文档只对使用Gtest(GoogleTest)开发的测试用例有效。通过命令,你可以使用以下功能:选择测试用例: --gtest_list_tests列出所有的测试用例,但并不执行。代码中的用例TEST(Foo,Bar)显示出的结果是"Foo.Bar". --gtest_f
经常听到身边有些朋友抱怨,说每天上班的心情就想上坟。然而,真是如此么?小编相信,每位上班像上坟的朋友,身边不会缺少这样的朋友:每天上班精神抖擞,很有干劲,心情愉悦就像是来踏青一样。他们是怎么做到的呢?其实,上班不愉快无非就是上班时心情不好,感觉焦虑。要知道,这些都是可以解决的!人的一生,就是适应、利用、创造法则的一生。法则就是自然法则、社会秩序和公司规章制度。最无力的时候只能去学习、适应法则,成长
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦:Markdown和扩展Markdown简洁的语法代码块高亮图片链接和图片上传LaTex数学公式UML序列图和流程图离线写博客导入导出Markdown文件丰富的快捷键快捷键加粗Ctrl+B斜体Ctrl+I引用Ctrl+Q插入链接Ctrl+L插入代码Ctrl+K插入图片Ctrl
php开发遇到的Accessdeniedforuser'root'@'localhost'(usingpassword:NO)首发:2017-09-2413:44:38环境:CentOS6.5+php5.3.3在php开发过程中,我遇到了一个问题:在命令行中登录Mysql完全正常,然而PHP代码读取数据库却出了问题。报错如下:Accessdeniedforuser'root'@'localhost
代码抄录自《UNUX网络编程卷一》,在实现开发环境中调试通过,经测试发现可以正常监听。(2017-09-0621:56:31)开发环境:CentOS,g++,VIM功能:C++实现Socket通信的Server端,实现监听8080端口接收到的消息。#include#include/*SeeNOTES*/#include#include#include#include#include#include
本文作者之前在CSDN发过(2017-09-0313:09:28),现在入驻本站。网上有很多的FTP搭建步骤,但普遍很繁琐,个人临时使用太麻烦。本次实验使用腾讯云服务器CentOS简易搭建FTP服务器,四行命令足矣完成基本使命。yuminstallvsftpdservicevsftpdstartuseradd-m-d/home/uftp-s/sbin/nologinuftppasswduftp目前
刚开始学CSS,HTML+CSS+Div虽说是上个世纪就有产生的发明,但我却不会。不过,不要紧,学就是了。问题是这样的:我编写HTML文件,并调用CSS文件实现布局美化。然后,经常出现明明已经修改过CSS文件但HTML页面却并没有产生变化的现象。怎么办?CSS语法作为初学者,首先想到的时自己写错了。所以查找正确的语法,如这一文章中提到的HTML调用CSS管理、美化div,仔细检查,发现语法是OK的
验证C/C++程序或调用其中某个函数(类)消耗内存的方法:获取进程ID,调用/proc/[pid]/status查看消耗的内存页(4KB/内存页)进程ID获取方法UNIX环境高级编程中提到的getpid(),可以获取。头文件``查看内存信息sprintf(FILE_NAME,"/proc/%d/statm",pid);FILE*fp=fopen(FILE_NAME,"r");fscanf(fp,"
方案主旨思想是查找系统漏洞,让本身具有root权限的进程执行打开root权限的操作。重烧engboot.img方案Android版本有user版本和eng版本的区别,其中eng版本可以用于开发调试,所以本身可以开启root权限。通过重烧engboot.img版本来获取root权限。这个原理理解起来很简单,原理章节不再详述。死锁问题root需要考虑两个问题:(1)root权限的获取;(2)root权
Ubuntu中Apache2启动失败报错Jobforapache2.servicefailedbecausethecont...为解决这个问题,花了一个下午,参考了120多条网络博文,很有成就感。但实际上是由于一个简单的配置原因导致的问题,希望以后可以更加细心。-最初的现象,php代码没有解析phpinfo输出内容是显然,只是代码,并没有成功解析php代码。事后分析,是Apache2服务的问题。-