在之前的文章中(APT攻擊背后的秘密：攻擊性質(zhì)及特征分析;攻擊前的"敵情"偵察;攻擊時的武器與手段;攻擊時的漏洞利用)，我們已經(jīng)了解了APT攻擊的特征、"敵情"偵察、攻擊的武器和手段以及APT攻擊的漏洞利用。本文我們將探討APT攻擊中的命令和控制，在這個階段，攻擊者已經(jīng)侵入了你的網(wǎng)絡(luò)，并將開始進行最后的攻擊活動，這個階段通常被稱為C2。

攻擊者已經(jīng)完成了偵察、武器化和傳送以及漏洞利用和安裝階段，現(xiàn)在的問題是，你是直接攻擊目標還是為攻擊者提供攻擊機會?這個問題的答案將決定你如何應對C2階段。

正如前面提到的，被動攻擊(即你不是直接攻擊目標)很被動。因此，當終端因為路過式下載攻擊或惡意郵件附件被感染時，安裝過程非常容易檢測。但有時候路過式攻擊會利用漏洞利用工具包，而這只需要很少的用戶交付，也可能無法被檢測。

前面的文章中也提到過，被動攻擊活動主要取決于攻擊量。當攻擊者收集了身份驗證和財務信息(一般攻擊的主要目標)后，攻擊者需要為每臺感染主機建立一個C2通道。在這種情況下，沒有變種和流量限制，只有對數(shù)千臺感染主機的一個聯(lián)系點。

C2階段主要是關(guān)于通信，但要記住，C2階段并不包括數(shù)據(jù)傳輸。C2階段是建立通信通道，允許攻擊者與外部溝通。

被動攻擊是自動化的。自動化可以幫助攻擊者實現(xiàn)攻擊量，因為幾乎不需要交互。然而，這種自動化意味著他們可能被發(fā)現(xiàn)。當企業(yè)內(nèi)50個系統(tǒng)與相同未知主機通信，可能會被注意到。

有針對性的攻擊則更具體，幾乎沒有自動化。攻擊者將會發(fā)出命令，并使用特定的工具。有針對性攻擊的所有活動都是有目的的，并會努力逃避偵察，盡量保持低調(diào)。

當你的企業(yè)淪為被動攻擊受害者，攻擊者使用的自動化工具無法逃避現(xiàn)有安全控制和緩解措施的檢測，因為它們制造了太多動靜。因此，企業(yè)應該盡快阻止這種攻擊。

需要注意的是，被動攻擊采用自動化方式是因為，這些攻擊活動背后的操作者更側(cè)重攻擊量，而不是控制。如果他們的惡意軟件或其他有效載荷被發(fā)現(xiàn)和阻止，這并沒什么大不了，他們可以馬上轉(zhuǎn)移到其他受害者。

然而，如果企業(yè)淪為有針對性攻擊的受害者，這意味著攻擊者將會在企業(yè)內(nèi)找到立足點，并會繞開安全控制或禁止安全控制來避免被發(fā)現(xiàn)。此外，攻擊者還會試圖建立后門程序到其他系統(tǒng)，創(chuàng)建更多切入點，以防其中一個切入點被發(fā)現(xiàn)。因此，在企業(yè)的事件響應計劃中，一個很好的經(jīng)驗法則是，如果你看到一個后門程序，這意味著還潛伏著其他后門程序。

“堅實的”C2是指攻擊者可以動態(tài)調(diào)整其程序，增加事件響應者手動檢測的難度，甚至不可能。這也是數(shù)據(jù)泄漏事故很長時間才被發(fā)現(xiàn)的原因。

正如第三篇文章中所述，攻擊者往往會回調(diào)以獲取額外的工具，或使用有效載荷發(fā)出外部請求。這些感染指標能夠清楚地揭示C2活動，因為與正常網(wǎng)絡(luò)流量相比，這些有些異常。

因此，企業(yè)應該對比DNS請求和已知惡意服務器列表，或者過濾有著不良聲譽的IP地址，以應對這種類型的流量。在漏洞利用和安裝階段后，C2階段是攻擊者少數(shù)制造動靜的時期。然而，當這些流量被自動化檢測標記時，則表明是被動攻擊。

這樣想，如果攻擊活動背后的操作者在使用C2通道或者從已知惡意來源下載有效載荷，你的企業(yè)可能是攻擊者的目標之一。在另一方面，有針對性攻擊活動背后的操作者會謹慎避免被檢測。他們會將C2流量隱藏在正常通信通道內(nèi)。

在C2建立后，攻擊者就成功了一半。一般被動攻擊是自動化的，動靜很大，并且會立即發(fā)動攻擊，而有針對性攻擊則會潛伏數(shù)天、數(shù)周甚至數(shù)月。因此，在C2階段，流量監(jiān)控是關(guān)鍵防御措施。如果能夠結(jié)合前面提到的防御措施，你就建立了一個強有力的分層保護。

只要正確配置和維護(包括定期更新)，IPS和IDS系統(tǒng)可作為第一層防御。然后，企業(yè)需要ACL規(guī)則來通過防火墻限制入站和出站連接。然而，還需要限制防火墻規(guī)則中例外的數(shù)量，并且需要對這些例外進行密切檢測，或者在不需要時撤銷。在有針對性攻擊期間，你的安全規(guī)則和政策可能被用來針對你，特別是當它們過時或不受監(jiān)管時。

最后，企業(yè)應該監(jiān)控網(wǎng)絡(luò)上流量的移動情況，更重要的是，監(jiān)控移動到外部的流量。同時，關(guān)注紅色標記的事件，例如修改HTTP表頭，以及到未知IP地址或域名的連接。加密流量是被動攻擊和有針對性攻擊活動使用的常用技巧，在這種情況下，C2可能更難被發(fā)現(xiàn)，但也不是沒有可能。你可以查找自簽名證書和未經(jīng)批準或非標準加密使用。