C&C服务器,其全称为command and control server,即“命令及控制服务器”。随着恶意木马产业的发展,很多木马早已摆脱了过去“单打独斗”的作战方式,而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同效果。这样既可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,进行指挥的关键节点便是C&C服务器。一旦客户的内网受到APT(高可持续性攻击)攻陷,大量的PC就可能成为C&C服务器控制的肉机,整个内网将沦为C&C僵尸网络环境。黑客既可以以此为调板利用各种手段对内网进行渗透,获取大量服务控制权,从而盗取、篡改重要信息。长期被控制的肉机会根据C&C命令持续做出危害企业等的安全。
C&C服务器一方面可以接收被控制计算机(也被称为肉鸡)上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶能力,进而造成更大破坏。据了解,很多木马在连接C&C服务器的时候,会使用域名定位该服务器。
通过分析从木马中自动提取出的威胁情报,可根据其中的重要特征对木马进行分类:
1. Downloader类木马: 从网络上下载恶意可执行文件;
2. Worm_email类木马:通过电子邮件进行蠕虫式传播;
3. Backdoor类木马:与C&C服务器进行指令级别的交流,并通过预先定义好的指令,执行相应的恶意行为,包括收集系统信息、上传敏感文件、窃取帐号信息等。
看似如此强大和难缠的僵尸网络有哪些不同于传统病毒、木马、蠕虫的危害呢?根据功能模块的不同,僵尸网络的危害包括但不限于:
1、感染其他系统成为新的僵尸客户端;
2、DDos攻击,利用大量的僵尸客户端对同一系统/设备发起攻击;
3、广告点击欺骗,比如欺骗点Google公司AdSense的广告赚取费用;
4、发送垃圾邮件及网络钓鱼;
5、存储和分配非法(盗版)知识产权资料;
6、利用DDos攻击进行勒索;
7、根据已感染的僵尸客户端进行数据挖掘(或包含键盘记录功能),获取客户端系统有利用价值的资料;
8、利用僵尸客户端进行比特币挖矿。
