APT攻击背后的秘密:攻击时的命令和控制

在之前的文章中(APT攻击背后的秘密：攻击性质及特征分析;攻击前的”敌情”侦察;攻击时的武器与手段;攻击时的漏洞利用)，我们已经了解了APT攻击的特征、”敌情”侦察、攻击的武器和手段以及APT攻击的漏洞利用。本文我们将探讨APT攻击中的命令和控制，在这个阶段，攻击者已经侵入了你的网络，并将开始进行最后的攻击活动，这个阶段通常被称为C2。

攻击者已经完成了侦察、武器化和传送以及漏洞利用和安装阶段，现在的问题是，你是直接攻击目标还是为攻击者提供攻击机会?这个问题的答案将决定你如何应对C2阶段。

正如前面提到的，被动攻击(即你不是直接攻击目标)很被动。因此，当终端因为路过式下载攻击或恶意邮件附件被感染时，安装过程非常容易检测。但有时候路过式攻击会利用漏洞利用工具包，而这只需要很少的用户交付，也可能无法被检测。

前面的文章中也提到过，被动攻击活动主要取决于攻击量。当攻击者收集了身份验证和财务信息(一般攻击的主要目标)后，攻击者需要为每台感染主机建立一个C2通道。在这种情况下，没有变种和流量限制，只有对数千台感染主机的一个联系点。

C2阶段主要是关于通信，但要记住，C2阶段并不包括数据传输。C2阶段是建立通信通道，允许攻击者与外部沟通。

被动攻击是自动化的。自动化可以帮助攻击者实现攻击量，因为几乎不需要交互。然而，这种自动化意味着他们可能被发现。当企业内50个系统与相同未知主机通信，可能会被注意到。

有针对性的攻击则更具体，几乎没有自动化。攻击者将会发出命令，并使用特定的工具。有针对性攻击的所有活动都是有目的的，并会努力逃避侦察，尽量保持低调。

当你的企业沦为被动攻击受害者，攻击者使用的自动化工具无法逃避现有安全控制和缓解措施的检测，因为它们制造了太多动静。因此，企业应该尽快阻止这种攻击。

需要注意的是，被动攻击采用自动化方式是因为，这些攻击活动背后的操作者更侧重攻击量，而不是控制。如果他们的恶意软件或其他有效载荷被发现和阻止，这并没什么大不了，他们可以马上转移到其他受害者。

然而，如果企业沦为有针对性攻击的受害者，这意味着攻击者将会在企业内找到立足点，并会绕开安全控制或禁止安全控制来避免被发现。此外，攻击者还会试图建立后门程序到其他系统，创建更多切入点，以防其中一个切入点被发现。因此，在企业的事件响应计划中，一个很好的经验法则是，如果你看到一个后门程序，这意味着还潜伏着其他后门程序。

“坚实的”C2是指攻击者可以动态调整其程序，增加事件响应者手动检测的难度，甚至不可能。这也是数据泄漏事故很长时间才被发现的原因。

正如第三篇文章中所述，攻击者往往会回调以获取额外的工具，或使用有效载荷发出外部请求。这些感染指标能够清楚地揭示C2活动，因为与正常网络流量相比，这些有些异常。

因此，企业应该对比DNS请求和已知恶意服务器列表，或者过滤有着不良声誉的IP地址，以应对这种类型的流量。在漏洞利用和安装阶段后，C2阶段是攻击者少数制造动静的时期。然而，当这些流量被自动化检测标记时，则表明是被动攻击。

这样想，如果攻击活动背后的操作者在使用C2通道或者从已知恶意来源下载有效载荷，你的企业可能是攻击者的目标之一。在另一方面，有针对性攻击活动背后的操作者会谨慎避免被检测。他们会将C2流量隐藏在正常通信通道内。

在C2建立后，攻击者就成功了一半。一般被动攻击是自动化的，动静很大，并且会立即发动攻击，而有针对性攻击则会潜伏数天、数周甚至数月。因此，在C2阶段，流量监控是关键防御措施。如果能够结合前面提到的防御措施，你就建立了一个强有力的分层保护。

只要正确配置和维护(包括定期更新)，IPS和IDS系统可作为第一层防御。然后，企业需要ACL规则来通过防火墙限制入站和出站连接。然而，还需要限制防火墙规则中例外的数量，并且需要对这些例外进行密切检测，或者在不需要时撤销。在有针对性攻击期间，你的安全规则和政策可能被用来针对你，特别是当它们过时或不受监管时。

最后，企业应该监控网络上流量的移动情况，更重要的是，监控移动到外部的流量。同时，关注红色标记的事件，例如修改HTTP表头，以及到未知IP地址或域名的连接。加密流量是被动攻击和有针对性攻击活动使用的常用技巧，在这种情况下，C2可能更难被发现，但也不是没有可能。你可以查找自签名证书和未经批准或非标准加密使用。