這篇文章總結(jié)了一些我在安全工作里見到過的千奇百怪的C&C控制服務(wù)器的設(shè)計方法以及對應(yīng)的偵測方法，在每個C&C控制服務(wù)先介紹黑帽部分即針對不同目的的C&C服務(wù)器設(shè)計方法，再介紹白帽部分即相關(guān)偵測辦法，大家來感受一下西方的那一套。這里的白帽部分有一部分偵測方法需要一些數(shù)據(jù)和統(tǒng)計知識，我也順便從原理上簡單討論了一下用數(shù)據(jù)進(jìn)行安全分析的方法，從數(shù)學(xué)和數(shù)據(jù)原理上思考為什么這么做，可以當(dāng)作數(shù)據(jù)科學(xué)在安全領(lǐng)域的一些例子學(xué)習(xí)一下。

0x00 什么是C&C服務(wù)器

C&C服務(wù)器(又稱CNC服務(wù)器)也就是 Command & Control Server，一般是指揮控制僵尸網(wǎng)絡(luò)botnet的主控服務(wù)器，用來和僵尸網(wǎng)絡(luò)的每個感染了惡意軟件(malware)的宿主機(jī)進(jìn)行通訊并指揮它們的攻擊行為。每個malware的實(shí)例通過和它的C&C服務(wù)器通訊獲得指令進(jìn)行攻擊活動，包括獲取DDoS攻擊開始的時間和目標(biāo)，上傳從宿主機(jī)偷竊的到的信息，定時給感染機(jī)文件加密勒索等。

為什么malware需要主動和C&C服務(wù)通訊?因為多數(shù)情況下malware是通過釣魚郵件啊等方法下載到感染宿主機(jī)，攻擊者并不能主動得知malware被誰下載，也不能主動得知宿主機(jī)的狀態(tài)(是否開機(jī)是否聯(lián)網(wǎng)等)，除非malware主動告訴他，所以malware都會內(nèi)置一套尋找C&C主控服務(wù)器的方法以保持和C&C的聯(lián)絡(luò)和斷線重連。C&C控制服務(wù)的攻防要點(diǎn)在于，攻擊者能不能欺騙防御者成功隱藏C&C服務(wù)：如果防御者偵測到了隱藏的C&C服務(wù)，通過一些技術(shù)(封禁域名和IP等)或者非技術(shù)手段(匯報給安全應(yīng)急中心等)切斷malware和C&C之間的聯(lián)系，就可以有效的摧毀botnet。

尋找到C&C之后malware和C&C之間的通訊方式并不是本文攻防重點(diǎn)，它可以是SSH文件傳輸也可以是簡單的HTTP GET和POST，技巧性不是很大，不多的幾個靠傳輸來隱藏的技巧比如用DNS隧道隱藏流量這類方法如果有需要以后再來一發(fā)詳細(xì)闡述。

0x01 IP地址：難度低，易被抓

這是最常見的一類C&C服務(wù)器。攻擊者在惡意軟件的代碼里硬編碼寫上C&C服務(wù)器的IP地址，然后在需要和C&C通訊的時候用HTTP拉取需要的攻擊指令或者上傳從宿主感染機(jī)上盜取的信息等等。

這并不是一個高級的辦法，因為如果malware的二進(jìn)制代碼被獲取，這種用IP的方法很容易被安全人員通過反向工程二進(jìn)制代碼或者檢測蜜罐流量得到C&C服務(wù)器的地址，從而匯報給服務(wù)提供商封禁IP。所以這種方法并不能有效隱藏C&C服務(wù)，IP被抓了被反毒軟件更新病毒庫以后整個botnet就被摧毀了。現(xiàn)在國內(nèi)的多數(shù)malware的主控服務(wù)器都是以這種拼運(yùn)氣不被抓的方式存在，他們靠的是malware數(shù)量多，今天抓一個當(dāng)天就再出來三個，市場競爭很激烈。

國外用IP的C&C服務(wù)器一般是在Amazon AWS之類的云服務(wù)器上，通知了服務(wù)提供商很容易封禁IP。國內(nèi)的云服務(wù)商態(tài)度曖昧，不過也算還行吧。有機(jī)智的國內(nèi)malware作者在東南亞地區(qū)租用云服務(wù)IP，可以有效避開國內(nèi)監(jiān)管而且速度不錯(我并不是教你這么做啊)。

安全人員也不要以為這個方法低級就以為能輕易有效防御，比如說如果感染機(jī)不能安裝防毒軟件或者根本你就不知道中毒了。最近的一個例子是最近比較火的植入路由器的Linux/Xor.DDOS，它的C&C控制就是在AWS上面的IP，造成的影響很大，因為多數(shù)人并不知道路由器會被大規(guī)模植入惡意軟件，路由器本身也很少有防護(hù)，正好適合用IP做C&C，還省去了復(fù)雜的域名算法和DNS查詢的代碼保證了軟件本身的輕量化。也由于路由本身常開的特性，路由木馬也不用擔(dān)心失去鏈接，一次C&C的通訊可以保持連接很久，降低了木馬被發(fā)現(xiàn)的機(jī)會。技巧雖然不華麗，但是用的好還是威力強(qiáng)大。該木馬的詳細(xì)分析參見http://blog.malwaremustdie.org/2015/09/mmd-0042-2015-polymorphic-in-elf.html 。

0x02 單一C&C域名：難度較低，易被抓

因為硬編碼的IP容易通過在二進(jìn)制碼內(nèi)的字串段批量regex掃描抓到，一個變通的辦法就是申請一些域名，比如idontthinkyoucanreadthisdomain.biz代替IP本身，掃描二進(jìn)制碼就不會立刻找到IP字段。這是個很廣泛使用的方法，通常C&C域名會名字很長，偽裝成一些個人主頁或者合法生意，甚至還有個假的首頁。即使這么用心，這種方法還是治標(biāo)不治本，偵測的方法也相對簡單，原因是：

安全廠商比如Sophos等的資深安全人員經(jīng)驗豐富，他們會很快人工定位到惡意軟件可能包含C&C域名的函數(shù)，并且通過監(jiān)測蜜罐的DNS查詢數(shù)據(jù)，很快定位到C&C域名。這些定位的域名會被上報給其他廠商比如運(yùn)營商或者VirusTotal的黑名單。

新的C&C域名會在DNS數(shù)據(jù)的異常檢測里面形成一些特定的模式，通過數(shù)據(jù)做威脅感知的廠商很容易偵測到這些新出現(xiàn)的奇怪域名，并且通過IP和其他網(wǎng)絡(luò)特征判定這是可疑C&C域名。

所以常見的C&C域名都在和安全廠商的黑名單比速度，如果比安全研究員反向工程快，它就贏了，但是最近的格局是隨著基于數(shù)據(jù)的威脅感知越來越普遍，這些C&C域名的生命周期越來越短，運(yùn)氣不好的通?；畈贿^半個小時。攻擊者也會設(shè)計更復(fù)雜的辦法隱藏自己，因為注冊域名需要一定費(fèi)用，比如帶隱私保護(hù)的.com域名需要好幾十美元，尋找肉雞植入木馬也要費(fèi)很大功夫，本來準(zhǔn)備大干一場連攻半年結(jié)果半個小時就被封了得不償失。

在這個速度的比賽里，一個低級但是省錢方便技巧就是用免費(fèi)二級域名，比如3322家族啊vicp家族等不審查二級域名的免費(fèi)二級域名提供商，最著名的例子就是Win32/Nitol家族，搞的微軟靠法院判來3322.org的所有權(quán)把他們整個端了(雖然后來域名控制權(quán)又被要回去了)。這個方法是國內(nèi)malware作者最喜歡的一個方法，數(shù)據(jù)里常見一些漢語拼音類的C&C域名，比如woshinidie.3322.org等喜感又不忘占便宜的二級域名，可能因為在我國申請頂級域名麻煩還費(fèi)錢容易暴露身份，不如悶聲發(fā)大財。你看，這也不是我在教你這么做啊。

真正有意思的是技術(shù)是，比較高級的C&C域名都不止一個，通過一個叫做fast flux的辦法隱藏自己。

0x03 Fast flux, double flux and triple flux

攻擊者對付傳統(tǒng)蜜罐和二進(jìn)制分析的辦法就是不要依靠單一C&C，取而代之的是快速轉(zhuǎn)換的C&C域名列表(fast flux技術(shù))：攻擊者控制幾個到幾十個C&C域名，這些域名都指向同一個IP地址，域名對應(yīng)IP的DNS record每幾個小時或者幾天換一次，然后把這些C&C域名分散的寫到malware的代碼里面。對于傳統(tǒng)二進(jìn)制分析來說，掛一漏萬，如果不能把整個C&C域名列表里面的所有域名放到黑名單上，就不能有效的摧毀這個惡意軟件。這就比賽攻擊者的隱藏代碼能力和防御者的反向工程以及蜜罐監(jiān)測能力了。這種方法叫做Fast flux，專門設(shè)計用來對付安全人員的人工分析。

防御Fast flux的方法在流量數(shù)據(jù)里看相對容易，比如威脅感知系統(tǒng)只需要簡單的把每個域名解析指向的IP的歷史數(shù)據(jù)按照IP做一次group by就抓住了，利用數(shù)據(jù)并不難嘛。所以應(yīng)運(yùn)而生有更高級double flux和triple flux的辦法。

如果攻擊者比較有錢，租用了多個IP地址，那么他可以在輪換C&C域名的同時輪換IP地址，這樣M個C&C域名和N個IP地址可以有M*N種組合，如果設(shè)計的輪換時間稍微分散一些，會讓蜜罐流量分析缺乏足夠的數(shù)據(jù)支持。偵測double flux的辦法需要一些簡單的圖知識(請系好安全帶在家長陪同下觀看)：

如果把每個域名和IP地址當(dāng)做圖的節(jié)點(diǎn)V，一個有效的域名-IP記錄當(dāng)做對應(yīng)兩個節(jié)點(diǎn)的邊E，那么整個流量數(shù)據(jù)就可以表示為一個由V_域名指向V_IP的二分有向圖。Double flux的圖就是這個巨大二分有向圖里的互相為滿射的完全二分圖，換句人話就是，存在這樣一個子圖，當(dāng)中每個V_域名節(jié)點(diǎn)都指向同樣一個集合的V_IP節(jié)點(diǎn)，而每個V_IP節(jié)點(diǎn)都被同一個集合的V_域名節(jié)點(diǎn)指向。圖示如下：

當(dāng)然了，感染的IP可以訪問別的域名，比如圖中g(shù)oogle.com。在實(shí)際情況里，由于數(shù)據(jù)采集時間的限制，每個IP節(jié)點(diǎn)都要訪問所有C&C域名這個條件可以放寬。

當(dāng)攻擊者得知安全人員居然可以用圖論的方法干掉他們的double flux這么高級的設(shè)計方法之后，更瘋狂的triple flux出現(xiàn)了：每個域名的記錄里不僅可以添加A record也就是IP的指向，還可以選定不同的命名服務(wù)器Name server來解析這個域名，如果攻擊者足夠有錢(以及有時間精力)，他可以控制K個name server定時或者不定時輪換，這樣可以造成M\*N\*K種組合。

Triple flux方法看似機(jī)智，好像跑得比誰都快，其實(shí)在實(shí)現(xiàn)上聰明反被聰明誤，漏洞就在name server的設(shè)置上：多數(shù)正常服務(wù)的name server都是專有服務(wù)，而多數(shù)C&C多架設(shè)在免費(fèi)name server比如DNSpod的免費(fèi)服務(wù)器上。如果攻擊者能夠控制自己的一系列name server專門作fast flux，這些server并不是常見的name server。任何非常見的服務(wù)器域名都會在流量數(shù)據(jù)的異常檢測里面被監(jiān)測出來，上一節(jié)里面提到異常檢測偵測C&C域名的方法對triple flux里面的name server也是可用的。你看，攻擊者Naive了吧。

對于fast flux這一類特定flux類方法的監(jiān)測還有另外一個基于數(shù)據(jù)和機(jī)器學(xué)習(xí)的方法：如果仔細(xì)思考一下fast flux，我們也會發(fā)現(xiàn)攻擊者試圖創(chuàng)造一個聰明的辦法，但這種辦法本身有一個致命缺陷，也就是追求fast，它的域名對IP的記錄轉(zhuǎn)換太快了，導(dǎo)致每個域名紀(jì)錄的存活時間TTL被迫設(shè)計的很短，而絕大多數(shù)的正常服務(wù)并不會有如此快速的域名對應(yīng)IP的記錄轉(zhuǎn)換，大型網(wǎng)站的負(fù)載均衡和CDN服務(wù)的IP紀(jì)錄轉(zhuǎn)換和fast flux有截然不同的特征。這些特征可以很容易被機(jī)器學(xué)習(xí)算法利用判別fast flux的僵尸網(wǎng)絡(luò)，相關(guān)研究可以參看比如https://www.syssec.rub.de/media/emma/veroeffentlichungen/2012/08/07/Fastflux-Malware08.pdf等較早研究fast flux的論文。

0x04 使用隨機(jī)DGA算法：難度較高，不易被抓

DGA域名生成算法 (Domain Generation Algorithm) 是現(xiàn)在高級C&C方法的主流，多見于國外各大活躍的惡意軟件里，在VirusTotal里如果見到看似隨機(jī)的C&C域名都算這一類。它的基本設(shè)計思想是，絕不把域名字符串放到malware代碼里，而是寫入一個確定隨機(jī)算法計算出來按照一個約定的隨機(jī)數(shù)種子計算出一系列候選域名。攻擊者通過同樣的算法和約定的種子算出來同樣列表，并注冊其中的一個到多個域名。這樣malware并不需要在代碼里寫入任何字符串，而只是要卸乳這個約定就好。這個方法厲害在于，這個隨機(jī)數(shù)種子的約定可以不通過通訊完成，比如當(dāng)天的日期，比如當(dāng)天twitter頭條等。這種方法在密碼學(xué)里稱之為puzzle challenge，也就是控制端和被控端約好一個數(shù)學(xué)題，有很多答案，控制端選一個，被控端都給算出來，總有一個答上了。

一個簡單的例子(引用自wikipedia)比如說這段代碼可以用今天2015年11月3日當(dāng)做種子生成cqaqofiwtfrbjegt這個隨機(jī)字符串當(dāng)做今天的備選C&C域名：

def generate_domain(year, month, day):
"""Generates a domain name for the given date."""
domain = ""
    for i in range(16):
        year = ((year ^ 8 * year) >> 11) ^ ((year & 0xFFFFFFF0) << 17)
        month = ((month ^ 4 * month) >> 25) ^ 16 * (month & 0xFFFFFFF8)
        day = ((day ^ (day << 13)) >> 19) ^ ((day & 0xFFFFFFFE) << 12)
        domain += chr(((year ^ month ^ day) % 25) + 97)
    return domain

DGA方法的代表做就是Conficker，它的分析論文可以在這里找到：http://www.honeynet.org/papers/conficker 它的基本思想是用每天的日期當(dāng)做隨機(jī)數(shù)種子生成幾百到幾千不等的偽隨機(jī)字符串，然后在可選的域名后綴比如.com .cn .ws里面挑選后綴生成候選的C&C域名，攻擊者用同樣算法和種子得到同樣的列表，然后選擇一個注冊作為有效的C&C。安全人員即使抓到了二進(jìn)制代碼，在匯編語言里面反向出來這個隨機(jī)數(shù)生成算法也遠(yuǎn)比搜索字符串難的多，所以DGA是個有效防止人工破解的方法。最近幾年使用DGA算法的惡意軟件里，Conficker的方法是被研究人員反向工程成功，Zeus是因為源碼泄漏，其他的解出來DGA算法的案例并不多。

如果一個DGA算法被破解，安全人員可以用sinkhole的辦法搶在攻擊者之前把可能的域名都搶注并指向一個無效的IP。這種方法雖然有安全公司在做，但費(fèi)時費(fèi)力，是個絕對雷鋒的做法，因為注冊域名要錢啊，每天備選的域名又很多，都給注冊了很貴的?，F(xiàn)在常見的Torpig之類的C&C域名被sinkhole。更便宜有效的另外一個方法就是和DNS廠商合作，比如Nominum的Vantio服務(wù)器上TheatAvert服務(wù)可以實(shí)時推送DGA名單并禁止這些域名解析，使用了ThreatAvert的服務(wù)商就不會解析這些C&C域名，從而阻斷了惡意軟件和C&C域名的通訊。

從數(shù)據(jù)分析上可以看到DGA的另一個致命缺點(diǎn)就在于生成了很多備選域名。攻擊者為了更快速的發(fā)起攻擊，比如攻擊者的客戶要求付錢之后半小時內(nèi)發(fā)起DDoS攻擊，那么C&C的查詢頻率至少是每半小時，這就導(dǎo)致botnet對于C&C的查詢過于頻繁。雖然DGA本身看起來像是隱藏在眾多其他合法流量里，但是現(xiàn)在已經(jīng)有很多有針對DGA的各個特性算法研究，比如鄙人的用機(jī)器學(xué)習(xí)識別隨機(jī)生成的C&C域名里面利用到了DGA的隨機(jī)性等其它特性進(jìn)行判別，安全研究人員可以用類似算法篩選疑似DGA然后根據(jù)頻繁訪問這些DGA域名的IP地址等其他特征通過圖論或其他統(tǒng)計方法判別C&C服務(wù)和感染的IP等。

0x05 高級變形DGA：如果DGA看起來不隨機(jī)

基于DGA偵測的多數(shù)辦法利用DGA的隨機(jī)性，所以現(xiàn)在高級的DGA一般都用字典組合，比如ObamaPresident123.info等等看起來遠(yuǎn)不如cqaqofiwtfrbjegt.info可疑，攻擊者利用這種方法對付威脅感知和機(jī)器學(xué)習(xí)方法的偵測。最近的一個例子出現(xiàn)在Cisco的一篇blog里面提到的DGA就是一個很小的硬編碼在代碼里字典文件，通過單詞的組合生成C&C域名。這些字典組合的DGA看起來并不隨機(jī)，多數(shù)論文和blog里針對隨機(jī)DGA機(jī)器學(xué)習(xí)的辦法就不管用了。

對于這種DGA暫時并沒有成熟有效的偵測方法，因為字典是未知的，可以是英語詞匯，可以是人名，可以是任何語言里的單詞。常用的方法還是基于隨機(jī)DGA里面用到過的n-gram方法，比如用已知的DGA的n-gram分布判斷未知DGA，同時結(jié)合其它的特征比如解析的IP等等，或者利用DGA頻繁查詢的特性用n-gram特征作聚類。相關(guān)論文可以自行使用“Algorithmically Generated Domains”等關(guān)鍵詞搜索。

0x06 多層混合C&C，跟著我左手右手一個慢動作：難度最高，不易被抓

在DGA部分提到了，DGA的致命缺點(diǎn)在于被動查詢，如果想要快速啟動攻擊就必須讓malware頻繁查詢C&C，導(dǎo)致C&C查詢數(shù)據(jù)上異常于正常的查詢流量。多層混合C&C可以有效避免這個問題，是個丟卒保帥的戰(zhàn)術(shù)。這種方法在亞洲區(qū)的malware里面見到過很少幾次。

比如攻擊者設(shè)計一個兩層的C&C網(wǎng)絡(luò)，Boss級的C&C使用主域名列表比如.com域名，Soldier雜兵級C&C用免費(fèi)二級域名列表比如woshinidaye.3322.org，malware每天查詢一次Boss級C&C拉取當(dāng)天雜兵C&C域名列表，然后以一分鐘一次的頻率查詢雜兵C&C域名，接受攻擊指令，示意圖如下：

偵測和封禁這類高級混合C&C難點(diǎn)在于：

在數(shù)據(jù)里，Boss級的C&C出現(xiàn)幾率很低，可以不定時也可以一周一次，如果用一些早就注冊過的域名或者通過黑進(jìn)他人服務(wù)器利用無辜域名，Boss級的C&C很容易逃過異常檢測。

數(shù)據(jù)里可以檢測到的是頻繁查詢的低級的雜兵C&C域名。如果把這些域名封禁，malware在下一輪更新雜兵C&C列表后會使這種封禁方法無效。雜兵域名就是主動跑上來送死的，反正二級域名不要錢。

更高級的做法是，如果Boss級的C&C列表里的域名用完了，它可以通過這個兩層網(wǎng)絡(luò)實(shí)時推送新的Boss級C&C列表。你看人家都不需要DGA這么麻煩。

偵測和防御方法需要一些數(shù)據(jù)和圖論的知識，具體參考偵測double flux的模型，同樣是兩層網(wǎng)絡(luò)，不同點(diǎn)在于兩層節(jié)點(diǎn)都是域名節(jié)點(diǎn)，留作課后作業(yè)，這里就不贅述了。針對實(shí)現(xiàn)上另一個特征是，雜兵域名主要目的是來送死，他們的價格往往不高，比如免費(fèi)二級域名或者免費(fèi)的ccTLD或者gTLD后綴，利用這個特征可以把第二層網(wǎng)絡(luò)的尺度縮小，從而在圖數(shù)據(jù)庫的計算速度上有不小的提升。

0x07 利用Twitter Reddit等論壇：難度低，被抓看運(yùn)氣

前面提到的辦法多是攻擊者自己架設(shè)服務(wù)器，如果攻擊者的C&C域名被發(fā)現(xiàn)封禁了，這個botnet就被摧毀了。機(jī)智的攻擊者就想到了通過論壇發(fā)帖的辦法，比如在Twitter發(fā)一條在特定冷門話題下的包含C&C指令的tweet或者reddit上面找個十分冷門的subreddit發(fā)個包含控制指令的貼，這樣即使被運(yùn)營商或者安全研究小組發(fā)現(xiàn)了，人家總不能把推特和reddit封了吧(我說的是美國政府沒有這個權(quán)利)。去年被抓住的名為Mac.BackDoor.iWorm的惡意軟件就是利用reddit做C&C控制服務(wù)器，具體細(xì)節(jié)請參考http://news.drweb.com/show/?i=5976&lng=en&c=1 也有把C&C信息隱藏在一篇看起來很正常的文章里面防止被發(fā)現(xiàn)，比如MIT的這個把加密消息隱藏在一篇論文里的有趣的demo https://pdos.csail.mit.edu/archive/scigen/scipher.html 不過在實(shí)際工作里暫時還沒有看到這么高科技的C&C做法(你看我也不是教你這么做啊)。

這種方法不適合國內(nèi)的大環(huán)境，因為國外論壇發(fā)帖是不舉報不刪帖很容易悶聲發(fā)大財，但是水能載舟，亦可賽艇，國內(nèi)由于發(fā)帖的身份控制嚴(yán)格，如果用這個方法很可能被眼尖的版主發(fā)現(xiàn)匯報給警察叔叔。而且新浪微博發(fā)C&C控制微博也不現(xiàn)實(shí)，微博為了防爬蟲要強(qiáng)制登陸而且微博那個API的麻煩程度你也是知道的。所以這個方法只是拓展視野，順便寫個段子。

這里必須要插入一個段子了。一個真實(shí)的故事就是，我們抓到了一個做DDoS攻擊的botnet，我們的模型告訴我這些攻擊流量和twitter.com的訪問流量有強(qiáng)相關(guān)，經(jīng)過細(xì)致研究發(fā)現(xiàn)，這個bot可能用twitter的關(guān)鍵詞當(dāng)隨機(jī)數(shù)種子生成攻擊DGA域名。但奇怪的是，同一個bot感染的IP列表里面，中國區(qū)IP的隨機(jī)數(shù)種子似乎有初始化的問題，每次的種子都是一樣的。我們機(jī)智的抓住了這一點(diǎn)，把中國區(qū)當(dāng)做對比組反向出了DGA算法：因為一個特殊的原因中國區(qū)感染IP不能訪問twitter，如果認(rèn)為中國區(qū)的DGA種子總是空字符串，我們對比中國區(qū)的DGA和其他地區(qū)的DGA差不多可以猜出來它的DGA的方法，從而反向工程出來它們的DGA算法。這里需要感謝一下國家。

0x08 一些其它的高級技術(shù)

限于篇幅限制有一些現(xiàn)階段不太常用的C&C技術(shù)在這里僅僅簡單描述一下，有興趣的觀眾朋友們可以自行搜索。

利用P2P網(wǎng)絡(luò)的C&C。如果一個僵尸網(wǎng)絡(luò)里面所有的感染IP互相成為對方的C&C控制服務(wù)器，看起來很難摧毀所有的C&C。偵測重點(diǎn)在這個網(wǎng)絡(luò)初始化的時候，就好比其它的BT下載必須從一個種子或者磁力鏈開始，當(dāng)感染IP訪問初始化C&C的時候，它還是需要用上面說到的C&C方法，只是頻率很低。

IRC通訊.這是一個傳統(tǒng)歷史悠久的C&C控制方法。因為現(xiàn)在日常生活里IRC已經(jīng)被一些即時消息服務(wù)比如微信等等取代，很少有普通群眾會用到IRC，年輕的安全人員可能會忽視IRC這個老辦法。辦法雖老，但是用處廣泛，好比T-800機(jī)器人，"Old, but not obsolete."

你知道還可以手動C&C么?我就見過在鄉(xiāng)鎮(zhèn)政府內(nèi)網(wǎng)留了Windows Server 2003后門手工進(jìn)去挨個啟動的，毫無PS痕跡，嗯。

0x09 結(jié)語

說了這么多，主要目的是想介紹一下國際先進(jìn)的惡意軟件C&C設(shè)計和偵測經(jīng)驗，我們國內(nèi)的malware不能總糾結(jié)于易語言啊VC6.0啊之類的我國特色，也需要向國際靠攏。同樣的，我國的安全研究人員也需要國際先進(jìn)經(jīng)驗，走在攻擊者前面。C&C的設(shè)計和防御一直都是貓鼠游戲，不定期會出現(xiàn)一些大家都沒想到的很機(jī)智的辦法。在偵測C&C服務(wù)的過程里，數(shù)據(jù)科學(xué)和機(jī)器學(xué)習(xí)是很重要的工具，C&C的偵測現(xiàn)在越來越多的用到數(shù)據(jù)方法，在文中大家也看到了，攻擊者已經(jīng)設(shè)計出來一些對抗數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的更高級C&C設(shè)計方法，足以看出數(shù)據(jù)科學(xué)在安全領(lǐng)域的重要作用，連攻擊者都體會到了。很多C&C服務(wù)看似隨機(jī)，分布也廣泛，但是在統(tǒng)計分析上會顯示出一些特定規(guī)律從而讓安全人員發(fā)現(xiàn)。沒有人可以騙的過統(tǒng)計規(guī)律，不是嗎?