防御视角下的攻击基础设施（2020）

Recorded Future 使用主动探测的方式对攻击者的 C&C 基础设施进行了研究。数据截至 2020 年 11 月 15 日，Recorded Future 一共发现了 80+ 种工具的 10000+ 个 C&C 服务器。

发现其中有 55% 的 C&C 服务器未在开源情报中发现，每个 C&C 服务器的平均生命周期为 54.8 天。Recorded Future 发现 33% 的 C&C 服务器是部署在美国的，其中很多都是信誉良好的服务提供商提供的，最多的是 Amazon、Digital Ocean 和 Choopa。

攻击者在配置和访问服务器时会留下可观测的指纹，有时候在服务器部署的恶意软件上、有时候在登陆面板上、有时候在 SSL 证书上，这都为发现攻击基础设施提供了机会。

C&C 服务器数量

按照发现 C&C 服务器的数量排序，最多的是 Cobalt Strike 占 C&C 服务器总数的 13.5%。紧随其后的是 Metasploit 和 PupyRAT。（例如通过 TLS 证书、 Team 服务器端口或者 HTTP 头来识别 Cobalt Strike）

Y3auUbI.jpg!mobile

后续也有一些常见的 C&C 框架得到了广泛的部署。根据 PWC 和 Blackberry 的报告，大多数 Cobalt Strike 都使用的破解版和试用版。

jEZZB3I.jpg!mobile

部署服务器数量

在 576 个服务提供商中发现了 C&C 攻击基础设施，当然这只占到全球六万个 AS 运营商中的一小部分。

亚马逊（Amazon.com，Inc.）的 AS16509 部署了 471 个 C&C 服务器，其次是 Digital Ocean。当然，这并不代表服务提供商存在过失，可能是授权的红队（Red Team）在云上部署了这些框架。

7veyEjV.jpg!mobile

结论

预计在未来的一年中，开源工具将会越来越普及，特别是 Covenant、Octopus C2、Sliver 和 Mythic。但 Cobalt Strike 仍然会保持领先地位，而且由于其源码已泄露，后续的攻击者会进一步使用 Cobalt Strike。

详情可参见 Recorded Future 的报告。

参考来源

RecordedFuture

C&C 服务器数量

部署服务器数量

结论

参考来源

Recommend

Vue的核心思想

腾讯大数据实时分析引擎 Hermes 揭秘

从一个面试官的角度谈软件工程师的面试

Java中，那些关于String和字符串常量池你不得不知道的东西

大语文赛道能跑出下一个好未来吗？

国内市场捧得红马斯克，但可能捧不红PayPal

就算每天只能卖 500 台，苹果也要明年推 VR 头显

国家网信办出台公众账号管理新规

脉脉成为互联网大厂公敌

这样统计代码执行耗时，才足够优雅！

About Joyk