关于C2的主要用途，直接上图，懂的自然懂 ，不懂的看了就懂。

从APT攻击的攻击链可以看出APT攻击需要经过好几个环节:

• Reconnaissance（侦查，充分的社会工程学了解目标）
• Weaponization（定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件）
• Delivery 把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具，包括邮件的附件、网站（挂马）、USB等移动存储。
• Exploitation 攻击代码在目标系统触发，利用目标系统的应用或操作系统漏洞控制目标。
• Installation 远程控制程序（特马）的安装。使得攻击者可以长期潜伏在目标系统中。
• Command and Control (C2) ：被攻破的主机一般会与互联网控制器服务器建立一个C2信道，即与C2服务器建立连接。
• Actions on Objectives：经过前面六个过程，攻击者后面主要的行为包括 1、偷取目标系统的信息，破坏信息的完整性及可用性等。 2、进一步以控制的机器为跳转攻击其它机器，扩大战果。

 

1  C2-feed字段说明

每天推出一个dat文件供使用。同时根据用户实际情况推出3天、7天、月度（30天）版本。

• [+/=]：关联标记，+标记表示该条数据在和昨天的数据对比中是新增的，=标记表示该条数据也同样出现在昨天的数据中；
• [1.0.168.111]：代理C2服务器ip或者域名；
• [1]：“1”：代表存活;“0”：代表非存活。我们设计一个字段来表示当天该IP地址是否存活；
• [8016-8088]：我们设计一个字段来标志存活IP的端口信息，我们会对恶意ip进行云端的端口探测，根据端口信息情报的使用者可以对恶意ip有更全面的认识；
• [linux]：操作系统Banner；
• [www.watcherlab.com]：情报源，该条情报的来源，权威的机构或者组织等；
• [CN]:国家代码

2  C2-feed样例说明

3  获取方式

下载：http://feed.watcherlab.com/