顶部背景图片(1920*656)

C&C服务器的全称是Command and Control Server,即“命令及控制服务器”。随着恶意木马产业的发展,很多木马早已摆脱了过去“单打独斗”的作战方式,而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,进行指挥的关键节点便是C&C服务器。腾讯反病毒实验室旗下的哈勃分析系统,发布了《威胁情报态势报告——C&C 服务器篇》(以下简称《报告》)。《报告》显示,近期哈勃分析系统捕获的C&C服务器威胁情报数据总和超过1400万,日均近50万。

标题1图标(57*57).com顶级域名:C&C伪装首选

C&C服务器一方面可以接收被控制计算机(也被称为肉鸡)上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶能力,进而造成更大破坏。据了解,很多木马在连接C&C服务器的时候,会使用域名定位该服务器。《报告》数据显示,.com顶级域名仍然是大部分木马的首选。而在国家顶级域名中,中国的顶级域名.cn占据第一位。

段落图片1(478*288)
段落图片2(478*288)

标题2图标(57*57)美国:黑客服务器首选藏匿地

每一个C&C服务器必须对应一个具体的IP之后,才能被木马访问。部分木马在代码中直接指定了服务器IP,而另一部分木马使用域名,这些域名经过解析之后,也能转换为服务器具体的IP信息。哈勃分析系统经过整理、统计木马直接访问和通过域名解析访问的两类C&C服务器IP,并通过IP查找服务器所在地区发现,美国以超过一半的比例成为C&C服务器数量最多的国家。通过分析直接使用IP地址访问C&C服务器的木马,还发现了与C&C服务器进行通信的两大常用端口——443端口和80端口。通过这两个端口传输的数据有很大几率会被防火墙、网关等网络安全设备放行。

标题3图标(57*57)Downloader类木马:C&C通信首选

通过分析从木马中自动提取出的威胁情报,哈勃分析系统还原出了木马与C&C服务器进行通信的细节,并根据其中的重要特征对木马进行分类:
1.     Downloader类木马: 从网络上下载恶意可执行文件;
2.     Worm_email类木马:通过电子邮件进行蠕虫式传播;
3.     Backdoor类木马:与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取账号信息等。

段落图片3(478*288)
段落图片4(478*288)

标题4图标(57*57)哈勃&电脑管家:绝佳安全搭档

根据《报告》,哈勃分析系统建议用户,始终要从正规网站或官方网站下载和使用软件,不要轻信小型网站、网盘分享的文件,也不要随便下载群、论坛等社交渠道推荐的软件。对于不放心的软件,可以使用哈勃分析系统对其进行检测,及时发现风险。此外,安装并使用电脑管家,保持管家处于可用状态,能有效防止病毒木马的入侵,同时可以配合使用一些防火墙类软件,拦截可疑的网络请求。另外,有些网络环境由网络管理员或网络安全部门进行维护,必要时需要配合其进行网络安全检测和设置。