攻防對抗中的C2架構解析

“不要因為沒有掌聲而丟棄自己的夢想”

C2介紹

命令與控制（C2）是指在單個或一組目標受害者主機上建立和維持對植入工具的控制的過程。C2框架通常提供借助某個通信協議與植入工具進行通信的能力，向受害者系統發出命令，并且在C2服務器上接收這些命令的輸出，使攻擊者實現物理訪問或直接的虛擬訪問。

命令與控制（C2）協議依賴于每個受控植入工具和C2服務器之間的同步或異步通信信道。

CS 的原始通信架構：

    Cobalt Strike采用的是B/S架構，也就是常說的HTTP協議Client：就是控制端，即通過它來控制對方電腦。Server：即服務端。中轉：放在VPS，可有可無，CS中轉Teamserver就是一個WEB

注意，如果我們用其他程序搭建網站也可以做為中轉，即可實現HTTP遠控

關于架構：
C/S架構：Clinet/Server,主要指的是TCP，客戶端和服務端，即便帶個中轉它也還是叫C/S架構
B/S架構: Browser/Server,主要是HTTP，無論直接通過瀏覽器操作，還是像CS加個中轉再用客戶端訪問
RAT：Remote Admin Tools，遠程管理工具，長期以來國內外通用叫法。
C2: command&control，從字面上就很好理解命令和控制，現在新叫法。不管任何協議，木馬都可這樣叫。

HTTP C2原理

1.搭建WEB,可Apache、IIS、Tomcat或其他人工具如Ladon、CobaltStrike2.通過HTTP協議獲取指令、回傳結果3.指令執行功能(CMD執行、文件上傳下載、其它功能等)

Cobalt Strike

Cobalt Strike 的團隊服務器其實也是一種 C2 服務器。

CS 的agent是當攻擊者通過代碼執行，有一個 agent 運行在目標網絡中，就可以對目標網絡進行命令與控制。所以 agent實際上相當于 Beacon payload。