烽火台威胁情报订阅0529:C2-feed

围观次数:784 views

关于C2的主要用途,直接上图,懂的自然懂 ,不懂的看了就懂。

从APT攻击的攻击链可以看出APT攻击需要经过好几个环节:

1

  • Reconnaissance(侦查,充分的社会工程学了解目标)
  • Weaponization(定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件)
  • Delivery 把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件的附件、网站(挂马)、USB等移动存储。
  • Exploitation 攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。
  • Installation 远程控制程序(特马)的安装。使得攻击者可以长期潜伏在目标系统中。
  • Command and Control (C2) :被攻破的主机一般会与互联网控制器服务器建立一个C2信道,即与C2服务器建立连接。
  • Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括 1、偷取目标系统的信息,破坏信息的完整性及可用性等。 2、进一步以控制的机器为跳转攻击其它机器,扩大战果。

 

1  C2-feed字段说明

每天推出一个dat文件供使用。同时根据用户实际情况推出3天、7天、月度(30天)版本。

  • [+/=]:关联标记,+标记表示该条数据在和昨天的数据对比中是新增的,=标记表示该条数据也同样出现在昨天的数据中;
  • [1.0.168.111]:代理C2服务器ip或者域名;
  • [1]:“1”:代表存活;“0”:代表非存活。我们设计一个字段来表示当天该IP地址是否存活;
  • [8016-8088]:我们设计一个字段来标志存活IP的端口信息,我们会对恶意ip进行云端的端口探测,根据端口信息情报的使用者可以对恶意ip有更全面的认识;
  • [linux]:操作系统Banner;
  • [www.watcherlab.com]:情报源,该条情报的来源,权威的机构或者组织等;
  • [CN]:国家代码

2  C2-feed样例说明

2

3  获取方式

下载:http://feed.watcherlab.com/

 22222

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助