高级威胁活动中C2的多样风格

网络空间威胁对抗与防御技术研讨会暨第九届安天网络安全冬训营资源代价与安全算力高级威胁活动中C2的多样风格安天|安全研究与应急处理中心C2是什么?命令控制：基础设施C2的多样风格高级威胁行为体的复古与新潮C2的检测发现多样风格的抽象与持续的猎杀捕获网络空间威胁对抗与防御技术研讨会暨第九届安天网络安全冬训营C2是什么?命令控制：基础设施C2在网空杀伤链中位于关键位置二C2是什么?命令控制：基础设施二二二工二二二二二二https://attackmitre.o安天研究院2021年10月评制基于OODA循环C2在网空杀伤链中位于关键位置与技战术遍历观察展开展开投放投放利用安装行动成目标径门用口流量使议使用邮件协议使用使用设标准编码非标准编码使用垃圾数据使用隐写术域名FastFluxDNS称加法使用内部代理使用外部代理使用多跳代理端口C2节点文击者自建服务器法网络空间威胁对抗与防御技术研讨会暨第九届安天网络安全冬训营02高级威胁行为体的复古与新潮APT组织入侵网站作为C2——广域网/公网·安天发布《Kimsuky组织针对韩国新闻行业的钓鱼活动分析》·Kimsuky首先入侵了网站，然后上传Webshell及其他攻击活动中所需要的组件到web服务器。·C2的有效时间不固定，C2的状态是变化的，需要持续的观察，无法直接作为loC指标。C2C2节点攻击者自建服务器C2信息传递点C2情报传递点用域名前通过可移动介质通信使用垃圾数据使用加密信道模拟合法协议使用备用信道创建多级信道使用对称加密算法使用非对称加密算法橙色表示攻击方使用的基础设施和受害者受害者广域网/公网设施T越来越多APT组织利用DDR作为C2——广域网/公网Mykeyboarddoesntwork..h.0U地址videotest越来越多APT越来越多APT组织利用DDR作为C2——广域网/公网窃密攻击活动分析》<divclaa='colmn-r1ght-outeBcaiyclaag-'colnn-rightkdivcless-'widget-cnetahttp-equiy-"Content-Type"content-"text/htal;cherset-utf-8"><scriptlanguage-"VB,v2-W=R”3v-*eL”d/ugd/73cceb_4906e用DNS计算使用域名前置使用加密信道法准炉T1105F三F被控路由器流量转发[44674473:423565510VPN连接攻击者使用隐写术使用对称加密算法模拟合法物议使用非对称加密算法橙色表示攻击方使用的基础设施和受害者使用备用信道信红色表示攻击方使用的C2节点、Payload和技术点→橙色箭头表示C2整体的链路公设备(95%),剩余是路由器和其他设备。被Cnerewatp美国CIA自建C2基础设施控制平台蜂巢(Hive)——广域网/公网·2017年11月9日，维基解密美国CIA自建C2基础设施控制平台蜂巢(Hive)——广域网/公网报文报文C2节点攻击者自建服务器C2信息传递点使用对称加密算法使用对称加密算法法红色表示攻击方使用的C2节点，Payload法橙色箭头表示C整体的错路入侵内网服务器、或使用可移动设备作为C2——局域网/内网2信使用加虚信法非标准编码T1071→利用可移动设备作为C2突破隔离网络——局域网/内网震网(Stuxnet)可移动存储媒介传播：利用快捷方式解析漏洞MS10-04火焰(Flame)可移动存储媒介传播：利用快捷方式解析漏洞。建立U盘隐巴基斯坦、印尼、越南等国。可移动存储媒介传播：疑似未知0day。U盘开辟自定义加密俄罗斯、中国、伊朗等国。可移动存储媒介传播：将U盘设置成自动运行(盘中创建文件“thumb.dd”存储窃密数据。五角大楼，及其他国家目标。穹顶7(Vault⁷)冲击钻：劫持光盘刻录软件，向光盘PE文件注入载荷BadUSB:该USB设备插入后能模拟键盘按键，执行脚本或随U盘携出传回CIA。美方认为的攻击目标。水蝮蛇一号美方认为的攻击目标。利用可移动设备作为C2突破隔离网络——局域网/内网隔离网络的Ramsay组件分析》是否包含指令，是则读取载荷目标内部网络目标内部网络黑客建立持久化驻点登时“TramsayAPT29基于域名前置的隐蔽通道作为C2,通过Tor隐藏C2节点——Tor洋葱路由信道信道协议报文基础设施C2节点受害者使用垃圾数据法创建多级信道通过可吏用加密信道原有信原有信所以很难追踪到威胁操作者的分片\乱序广域网/公网攻击者自建服务器受害者受害者C2信息传递点编码数据远程访问软远程访问软使用协议隧道通过可移动介质通通过可移动介质通信使用加密信道使用垃圾数据使用对称加密算法使用对称加密算法使用非对称加密算法模根合法协议创建多级信道创建多级信道APT34的C2作为C2。HA目标行业武备装备攻毒手法.NETRockatWan/Mimikat:/NBTSeiPowerShell/PowerShellMiamiBeach/PsEMImikatz/NBTScan/.NETPOSPoworshallPoseehaltmpin/Pttsee:4CVE201701SCv.2017-11引自安天《2019年网络安全威胁回顾与展望》网络空间威胁对抗与防御技术研讨会暨第九届安天网络安全冬训营C2的检测发现多样风格的抽象与持续的猎杀捕获案例C2特点使用代理，隐藏真实C2流量侧、情报侧钓鱼分析猎杀发现案例二：利用DDR信息传递点作为使用合法Web服务，规避检测流量侧载荷Payload文件检测发现案例三：利用入侵的IoT网络设备作为C2使用非应用层协议，利用IoT设备作为流量代理转发流量侧、情报侧设备取证发现案例四：自建C2基础设施控制使用加密信道、使用隐写术、使用多跳代理情报侧发现案例五：入侵内网服务器、或使用可移动设备作为C2利用入侵内网服务器作为代理，使用可移动介质带入带出终端侧、流量侧内网横向移动发现案例六：通过域前置，通过Tor隐藏C2节点使用域名前置隐藏信道，使用Tor洋葱路由隐藏C2节点终端侧、流量侧后门载荷发现案例七：利用卫星通信作为C2利用卫星原有信道通信情报侧发现后门中的IP属于卫星范围案例八：入侵其他组织C2作为C2将其他APT组织的C2基础设施据为己有流量侧、情报侧对比分析C2分发的载荷发现目前已覆盖168项，目前已覆盖168项，侦察(10)资源开发(7)行载删二二…二三二11证有删二二…二三二11证有**m三三二二基于对载荷文件的检测可以大幅度的提升威胁框架的覆盖度F口口东b基证rdd的的pp环环nn理网m基于流量侧部署的安天探海威胁监测系统的可输出的攻击动作标签使用内部代理使用外部代理2信息传递点使用城名前置绘码数据P标准编码利用远程访问软件使用内部代理使用外部代理2信息传递点使用城名前置绘码数据P标准编码利用远程访问软件单标准编码使用协这照道星清数据使用的规数据位周险写术使用对称加密模法情报侧(猎杀)基础设施定位观察