3.6K
惡意程式執行時,常向惡意中繼站 (C2) 連線報到 (Check-in),並加入Botnet等候駭客下達指令。以後門程式為例,該惡意程式之功能,皆由駭客透過遠端 C2下達指令而驅動。
許多惡意程式內含有如 gh0st 的 RAT功能,駭客植入後門後,即可在受害者機器中進行上傳、下載或更新程式等動作。
因此,分析惡意程式時,若無法接收 C2指令,則時常無法重現其完整行為。試問,若讓惡意程式直接與 C2連線,問題即可解決否?
答案為否,原因有二。
其一:直接連線可能導致分析行為被駭客發現之風險。因為,動態分析時,常會將惡意程式反覆開關,並頻繁進出C2 伺服器。
其二:作為 Botnet一份子,只能被動接收資訊與被控制,也無法有效率且完 整分析惡意程式。
換言之,若想讓惡意程式完整接收到 C2指令,且不須擔心上述問題。則勢必要複刻完整 C2 伺服器的功能。此舉就像線上遊戲玩家架設遊戲私服,玩家可隨意做各種嘗試。
因此,我們若能架設 C2 私服,讓惡意程式向 C2私服報到。如此,重現惡意程式完整功能,便如囊中取物了。
複刻 C2 系列文章
- C2 複刻 01 – 為何投入複刻 C2 工作?
- C2 複刻 02 – Command and Control Server 定義
- C2 複刻 03 | Command and Control Server (C&C、C2) 通訊協定類型
- C2 複刻 04 | Command and Control Server (C&C、C2) 觀察
- C2 複刻 05 | 判斷Command and Control Server (C&C、C2)發起連線端
- C2 複刻 06 | Command and Control Server 握手 (Handshake) 與認證 (Authentication)
- C2 複刻 07 | 分析惡意程式呼叫的作業系統網路 API
- C2 複刻 08 | 找出所有 Command and Control Server 指令列表與功能函式
- C2 複刻 09 | Command and Control 資料傳輸格式
- C2 複刻 10 | 惡意程式加解密函式定位
- C2 複刻 11 | 判定惡意程式加解密演算法種類
- C2 複刻 12 | 推薦 20 個複刻 Command and Control Server 的 Python 3 擴充模組
- C2 複刻 13 | 分享 3 個複刻 Command and Control Server 程式測試環境的設定建議
- C2 複刻 14 | 3 個複刻 Command and Control Server 程式的開發原則建議