C2, Command and Control, 命令与控制。主要是指攻击者通过与恶意软件的交互,对被害者进行控制,从而实施恶意活动的含义。从语义上来讲,C2即可用作为名词(基础设施)也可以作为动词(交互的行为),例如C2服务器(名词做定语)、攻击者进行C2。
对于我这种新手来说,在面试的时候被问到一个问题,就是C2是在什么阶段进行的。当时脑子一下子有点懵,觉得C2不是就在中马后进行嘛。后在才想明白,这个问题其实背后考察的是对基本的攻击链路熟悉情况。我们先从杀伤链上来讲,主要分为以下的步骤:
以上的这种杀伤链是适用于普遍的网络入侵的,但在APT攻击中,APT攻击的目的往往不是为了破坏,而是为了窃密、监听[1]。
因此,在APT攻击中,C2通信常会有以下的用处:
因此C2架构的总体作用可以理解为:
C2 架构也就可以理解为,恶意软件通过什么样的方式获取资源和命令,以及通过什么样的方式将数据回传给攻击者。[1]