C2 複刻 01 – 為何投入複刻 C2 工作?

by iok
發佈日期: 更新日期: 3.5K 人次瀏覽
hosting-a-c2-01

惡意程式執行時,常向惡意中繼站 (C2) 連線報到 (Check-in),並加入Botnet等候駭客下達指令。以後門程式為例,該惡意程式之功能,皆由駭客透過遠端 C2下達指令而驅動。

許多惡意程式內含有如 gh0st 的 RAT功能,駭客植入後門後,即可在受害者機器中進行上傳、下載或更新程式等動作。

因此,分析惡意程式時,若無法接收 C2指令,則時常無法重現其完整行為。試問,若讓惡意程式直接與 C2連線,問題即可解決否?

答案為否,原因有二。

其一:直接連線可能導致分析行為被駭客發現之風險。因為,動態分析時,常會將惡意程式反覆開關,並頻繁進出C2 伺服器。

其二:作為 Botnet一份子,只能被動接收資訊與被控制,也無法有效率且完 整分析惡意程式。

換言之,若想讓惡意程式完整接收到 C2指令,且不須擔心上述問題。則勢必要複刻完整 C2 伺服器的功能。此舉就像線上遊戲玩家架設遊戲私服,玩家可隨意做各種嘗試。

因此,我們若能架設 C2 私服,讓惡意程式向 C2私服報到。如此,重現惡意程式完整功能,便如囊中取物了。

複刻 C2 系列文章

相關文章

留言