網絡威脅情報 c2 通信控制有哪些特征

網絡威脅情報c2通信控制有以下這些特征：

• 回連地址：數以百計的威脅情報產品專門按照IPv4地址和域名提供已知的惡意位置。許多工具為你提供惡意回連地址的黑名單和警報依據。如果你已經在使用這類工具，那么在辨識未知/非預期的連接時，地理位置信息也可以派上用場。

• 通信內容：多數惡意軟件為逃避檢測而采用加密通信。雖然這確實會使檢測傳輸內容變得更加困難，但同時也為防御者提供方便之處——只需查找加密信息出現在哪些不應該使用加密通信的地方。為了掩人耳目，有些惡意軟件會濫用常見協議，例如，通過TCP 80端口發送加密的HTTP流量，而TCP 80端口通常是不加密的。通信內容和通信協議的不匹配，可以作為一個重要的警報。元數據也是一種易被攻擊者忽視的常用檢測內容，例如，使用相同的用戶代理（user agent）字符串或公共的頭部信息，就是一種可疑的元數據。

• 通信頻率：攻擊者若不是設法入侵了公開的服務器，是無法與惡意軟件隨時通信的，因為通信鏈路可能是不通的。因此，大多數惡意軟件需要從內網主機向命令控制服務器發起連接，我們稱之為“心跳”（beacon）。這類心跳一般按固定間隔發生，通常是每隔幾分鐘一次（通常由工作中的惡意軟件發起），而且長達數月不間斷（如果最初的惡意軟件被刪除，則通常會觸發重新感染）。將通信頻率作為識別模式來檢索往往是可行的。

• 持續時間：大多數惡意軟件沒有那么聰明，所發送的消息往往無趣。在某些情況下，惡意軟件的通信并無實質內容，雖然通信內容是加密的。如果這種情況時常發生，就可以形成檢測模式，例如，那些始終具有相同字節長度的空操作消息。

• 特征組合：通常將單條特征作為檢測條件并不充分，但多條特征組合使用就能達到效果。開發一種檢測模式并找到對應的檢測方法，需要投入時間，有時也需要一點運氣。

回答所涉及的環境：聯想天逸510S、Windows 10。