首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

轻松理解什么是 C&C 服务器

大家经常在看恶意软件分析的文章或者关于僵尸网络的报道时经常会看到有关 C&C 服务器的字眼,但是这个 C&C 服务器是什么呢?今天的主题就是带领大家轻松理解什么是 C&C 服务器。...C&C 服务器的全称是 Command and Control Server,翻译过来就是命令和控制服务器,那么他有什么用呢?...,发送你要执行的命令,在远程服务器接收到命令之后执行并将结果返回给你,这时你的本机电脑就是一个简易的 C&C 服务器,如图简单的解释上面的过程: ?...以上的整个过程就是一个简易 C&C 服务器的进化史,通常我们在网络上看到的文章说 C&C 服务器的 IP 地址或者域名,这里的 C&C 服务器说的就是上面的中转服务器,为什么是中转服务器而不是本地主机呢...那是因为中转服务器是恶意软件和僵尸网络的直连服务器,是最直接接触的服务器,通常在恶意软件分析或者僵尸网络分析的时候首先分析出来的,所有控制者发送的指令都是经过中转服务器发送到目标服务器的,今天就说到这里吧

8.6K10

分析隐藏在比特币区块链中的Pony C&C服务器

在2019年9月份,Check Point的安全研究人员又发现了一个更新的版本,该版本竟然将一个小型C&C服务器的IP地址隐藏在了比特币区块链之中。...攻击者如何在比特币区块链中隐藏C&C服务器? 在这个真实的分析样本中,攻击者想要隐藏的IP地址为“185.203.116.47”。...Redaman恶意软件如何获取动态隐藏的C&C服务器IP地址? Redaman会根据上述介绍的算法进行反向计算并获取到隐藏其中的IP地址。...总结 在这篇文章中,我们介绍了Redaman如何高效地将动态C&C服务器IP地址高效地隐藏在比特币区块链中。...跟以往基于硬编码或静态编码IP地址来设置C&C服务器的方法相比,这种技术更加难以检测和防御。 入侵威胁指标IoC C&C服务器地址 ?

77930
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Slackor:Go语言写的一款C&C服务器

    编译 注意:服务器是用Python 3编写的 为此您需要准备 1.Slack工作区 2.并为slack应用设置以下权限: channels:read channels:history channels:...read 创建一个机器人 这个仓库包含五个文件: install.sh 安装依赖 setup.py 用于创建通道,数据库的脚本 agent.py 用于生成后门的脚本 server.py Slackor服务器...Slackor help - 显示帮助菜单 interact - 与代理交互 list - 列出所有已注册的代理商 remove - 杀死并删除代理 revive - 向所有代理发送信号以重新注册服务器...Slackor:AGENT - 常用命令 - back - 返回主菜单 - beacon - 更改代理每次登记之间的时间(默认为5秒) - download- 将代理程序中的文件下载到Slackor服务器...该服务器旨在在Kali Linux上运行。代理程序是针对Windows,Mac和Linux编译的,但主要是使用Windows 10进行测试。

    1.8K10

    通过DNS隧道进行C&C通信

    DNS隧道进行C&C通信 Dnscat2 ---- DNScat 堪称神器,因为它可以通过 DNS 协议创建 C&C 隧道,让攻击者更加隐蔽。...dnscat2是一个开源软件,下载地址:https://github.com/iagox86/dnscat2 它使用DNS协议创建加密的C&C通道,严格来讲它是一个命令与控制工具。...dns 隧道分为两种,一种是直连模式,就是dns通信目标受害机器直接连接到自己的VPS服务器C&C) ?...第二种是中继模式,受害者机器首先会去请求互联网上的dns服务器,最后再指向自己的VPS服务器C&C) ?...一、在一台外网VPS服务器上安装Linux操作系统(作为C&C服务器),并提供一个可以配置的域名 首先创建记录A,将自己的域名解析服务器(www.saulgoodman.club)指向VPS服务器,167

    2.2K41

    利用DNS隧道构建隐蔽C&C信道

    为了确保身份证的权威,办证单位必须是公安部门;在域名系统中也有权威的根域名服务器、权威域名服务器等。...【迭代查询】 本地域名服务器向根域名服务器查询,根域名服务器告诉它下一步到哪里去查询,然后它在根据结果逐层向下查询,直到得到最终结果。...每次它都是以DNS客户机的身份去各个服务器查询,即迭代查询是本地服务器进行的操作。...号端口发送到攻击者控制的DNS服务器 攻击者控制的DNS服务器接受到查询请求后,隧道服务端工具首先按照对应规则从请求数据包中提取C&C通信数据,并转发到事先设置好的C&C服务端对应的端口(也可以是另外的主机地址...五、总结与思考 本文方式实现的利用DNS隧道构建的隐蔽C&C信道较为隐蔽,因为DNS协议是当前网络中重要部分之一。大部分企业网络总会允许内网与指定DNS服务器(受信任)的查询、请求数据流量。

    2.8K20

    利用SSH隧道加密、隐蔽C&C通信流量

    复现实验部分以C&C通信流量为例进入实验。通过SSH隧道进行加密和隐藏的C&C流量在外部流量特征分析仅表现为标准SSH流量。 ?...二、实验原理 本次实验使用Empire工具快速搭建C&C信道,本文只简要介绍对于Empire工具。在Windows平台下使用Plink.exe工具的SSH功能搭建SSH隧道。...本次实验使用Empire生成简单的PowerShell脚本,建立最简单的C&C通信。下面简单概括主要步骤。...7) 至此以成功使用SSH隧道传输C&C通信流量,后续可在此基础上设计实现其他C&C控制命令及其它恶意功能。...(2) 使用工具(如Empire、Metasploit等)构建C&C。 (3) 利用SSH的端口转发搭建SSH隧道。 (4) 配置C&C和SSH参数使二者配合实现加密、隐藏恶意流量的目的。

    2K10

    C&C服务器究竟是怎么一回事

    C&C服务器,其全称为command and control server。我们在诸多文章中曾看到过,C&C服务器不仅可以为攻击者提供便利的资源管理平台,也可以保障其个人隐私安全。...今天,我们就通过一个几个C&C服务器的搭建实验教程让大家了解一下什么是C&C服务器,以了解如何应对利用C&C的攻击行为。...如下图所示: Web C&C服务器通信 故事 慢慢的,VPS服务器商场发现攻击者把一台VPS服务器当作C&C服务器。...Email C&C服务器通讯 故事 但是好景不长,有些攻击者发现这个微博号一直发一些奇怪的内容,深度挖掘之后发现这个微博号是一个C&C服务器。...实际上以上我提到的几个是C&C服务器只是非常基础的几个,还有URI C&C,Tor C&CC&C of C&C,IRC C&C等,有时候我甚至有考虑过用QQ来做C&C

    3.5K100

    Infection Monkey | 数据中心边界及内部服务器安全检测工具

    运行平台 C&C服务器在Ubuntu 14.04、15.04和16.04能完美运行。...2.在成功连接到C&C服务器后,Monkey会从上面下载一个新的配置文件(默认config.bin)来覆盖原来的配置。我们可以通过C&C服务器那边的主控端的UI界面,来修改默认的配置文件。...运行CC服务器 为了运行C&C服务器,我们需要在特定的服务器上安装我们infected Monkey的debian包,而初始的Monkey机器并不需要直连到C&C服务器。...tunnel: ip:port, 为Monkey设置默认连接C&C服务器的隧道 -d, –depth : 设置Monkey当前的检测深度 Monkey是如何工作的 1.唤醒与C&C服务器的连接,向C&C...服务器发送当前机器的基本信息,以及Monkey使用的配置: 首次尝试直接连接到C&C服务器 如果直连失败,它会尝试通过隧道进行连接(默认隧道,或者多播请求其他Monkey响应得到的隧道) 如果没有连上C

    2.1K80

    Spamhaus:2021 年二季度僵尸网络跟踪

    Spamhaus 的研究人员发现跟踪的僵尸网络 C&C 服务器数量减少了 12%,活跃强度可能有所下降。...C&C 服务器数量 2021 年第二季度监测发现 1462 个 C&C 服务器,相比上个季度的 1660 个下降了 12%。月均值也从每月 553 个下降到 487 个。 ?...C&C 服务器位置 位于拉丁美洲的 C&C 服务器显著减少,其中哥伦比亚和阿根廷双双跌出前二十,巴西锐减 40%。只有巴拿马蹿升至第 13 位。 ?...相比拉丁美洲的显著下降,欧洲的 C&C 服务器数量在持续增长,前二十名新增了捷克、波兰和芬兰。与此同时,德国、法国、拉脱维亚和英国的 C&C 服务器数量也在增长。 ?...而 Mail.ru、DigitalOcean、Eurobyte 和 Telstra 托管的 C&C 服务器数量都在下降。 参考来源 Spamhaus ?

    65330

    新型蠕虫病毒攻击服务器 政企电脑变矿机

    有意思的是,病毒除了可以通过C&C服务器进行更新外,还可以通过以太坊转账信息中的input字段内容临时更新C&C服务器地址,之后派发新的病毒模块到本地执行。...用来获取C&C服务器地址的以太坊钱包地址为:0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda,在获取C&C服务器地址时,只有该钱包地址向外(包括自己)的交易记录才会生效...,所以只有该钱包地址的拥有者才可以执行C&C服务器地址更新的操作。...C&C服务器地址,Linux和Winodws代码逻辑相同。...但截至到目前,黑客尚未通过此方式进行过C&C服务器地址更新。相关代码,如下图所示: ? 获取钱包交易记录信息 更新C&C服务器地址相关代码,如下图所示: ?

    2.2K20

    攻击者失手,自己杀死了僵尸网络 KmsdBot

    C&C 控制 对恶意活动来说,最致命的就是夺取对 C&C 服务器的控制。研究人员修改了 KmsdBot 的样本文件,使其能够在受控环境下进行通信。...按图索骥 研究人员通过检查 sys.main.connect() 函数并输出反汇编代码,来确定存储 C&C 服务器的 IP 地址与端口的代码。...(sys.main.connect() 函数的反汇编) C&C 服务器的字符串存储在内存地址 0x00632f19,将其修改为受控环境的 IP 地址。就能够像 C&C 服务器一样发送攻击指令。...(改写 C&C 服务器地址) 改写后的 C&C 服务器是开放端口 57388 的 192.168.0.31。在这台主机上使用 Netcat 来模拟 C&C 服务器。...使用受控环境也能够复现这一问题: (复现重新发送格式错误的指令) (恶意软件崩溃) 格式错误的命令会导致与 C&C 服务器通信的所有恶意软件都崩溃,导致整个僵尸网络终止运行。

    29320

    新型在野远控木马Woody RAT,针对俄罗斯航空航天组织

    RSA 加密 AES 加密 C&C请求 恶意软件向 C&C 服务器发出的第一个 HTTP 请求是 knock,为带有 Cookie 的 POST 请求。...最后,恶意软件会定期向 C&C 服务器发出 ping请求。如果响应 _CRY就继续保持轮询,如果响应 _ACK就会包含继续执行的命令。...C&C命令 恶意软件使用一个特定线程与 C&C 服务器通信,并使用另一个线程来执行从 C&C 服务器接收到的命令。为了保持线程同步,恶意软件利用事件和互斥锁。...的信息发回 C&C 服务器 INFO 命令 UPEX:在失陷主机下载文件并执行(UPLD + EXEC) DNLD:将失陷主机的文件上传回 C&C 服务器 PROC:直接执行命令,不调用 cmd.exe...WoodySharpExecutor 支持恶意软件运行从 C&C 服务器接收的 .NET 代码, WoodyPowerSession 支持恶意软件执行从 C&C 服务器接收的 PowerShell 命令和脚本

    94030

    流氓软件传播病毒感染量数万 下载站仍是主要推广渠道

    C&C服务器获取恶意配置信息,相关代码,如下图所示: 从C&C服务器获取恶意配置信息 接收到的恶意配置信息,如下图所示: 接收到的恶意配置信息 根据C&C服务器下发的配置信息,下载执行其他恶意驱动模块...该病毒使用两种方式来判断是否弹出广告网页,第一种方式是在本地根据C&C服务器下发的规则进行判断;第二种则会将用户访问的网址信息发送给C&C服务器,由C&C服务器决定是否执行弹出广告网页的代码逻辑。...由C&C服务器判断是否弹出广告(pop.sys) 记录受害者访问的web网址,相关代码,如下图所示: 记录受害者访问的web网址 将网址发送给C&C服务器,等待服务器返回响应结果后,将相关信息插入等待列表中...相关代码,如下图所示: 向C&C服务器发访问网址数据 本地判断是否弹出广告(homepop.sys) C&C服务器下发的本地网址过滤规则,如下图所示: C&C服务器下发的的本地网址过滤规则 当网络过滤驱动检测到访问特定的网址时...C&C服务器下发的的网络请求。

    79520

    由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币

    根据研究人员的描述,PyCryptoMiner主要包括以下五个特性: 基于Python脚本语言,意味着很难被检测到; 在原始命令和控制(C&C)服务器不可用时,利用Pastebin[.]com(在用户名...大多数恶意软件都会对C&C服务器的地址进行硬编码,这导致原始C&C服务器不可用时,无法告知僵尸网络切换到另一台C&C服务器。在这里,PyCryptoMiner的创建者使用了一个独特的技巧。...在原始C&C服务器不可用时,他使用Pastebin[.]com托管了用于替代的备用C&C服务器地址,并且可以随时进行更新。...另外,研究人员还发现由“WHATHAPPEN”用户创建的更多相关资源似乎都采用了相似的Python脚本,主要区别在于它们正在与不同的C&C服务器通信。...研究人员在查询域名为“zsw8.cc” 的C&C服务器时发现,注册人名称为“xinqian Rhys”。 此注册人与235个电子邮箱地址和超过3.6万个域名相关联。

    1.2K80

    扫码

    添加站长 进交流群

    领取专属 10元无门槛券

    手把手带您无忧上云

    扫码加入开发者社群

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭
      领券