2020年恶意软件命令和控制服务器统计分析

最新推荐文章于 2023-01-18 23:53:31 发布
最新推荐文章于 2023-01-18 23:53:31 发布
阅读量256 收藏 1
点赞数
文章标签: 网络 java 安全 github git
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/112504659
版权

2021年1月7日,威胁情报厂商Recorded Future发布了关于2020年度全网范围内远控木马回连服务器的总结分析报告。其基于2020年,收集的80多个恶意软件家族的10,000多个独特的命令和控制服务器作为数据支撑。

根据数据显示,命令和控制服务器的寿命(即服务器托管恶意基础结构的时间)平均为54.8天。也就是说,一台攻击者的C2服务器平均存活2个月就不用了。这对于威胁情报数据的生命周期(攻击者IP或域名资产过期问题)有很大的参考意义。

此外,网络基础架构上拥有最多命令和控制服务器的托管提供商都位于美国:Amazon,Digital Ocean和Choopa。

部署最多C2服务器的恶意软件家族为:CobaltStrike、Metasploit和PupyRAT

其他远程木马喜爱用的主机商。

APT组织常用恶意软件家族表对照。

该报告可以作为远控服务器数据参考来源。同时,也可以确认报告里面提到的恶意软件服务器都是有方法可以进行识别。

参考链接:

https://www.recordedfuture.com/2020-adversary-infrastructure-report/

其他识别远控服务器的方法可以查阅这些文章

[1]https://github.com/Sentinel-One/CobaltStrikeParser/blob/master/parse_beacon_config.py

[2]https://research.nccgroup.com/2020/06/15/striking-back-at-retired-cobalt-strike-a-look-at-a-legacy-vulnerability

[3]https://mp.weixin.qq.com/s/BLM8tM88x9oT4CjSiupE2A
[4]https://www.randhome.io/blog/2020/12/20/analyzing-cobalt-strike-for-fun-and-profit/

[5]https://www.fireeye.com/blog/threat-research/2020/07/scandalous-external-detection-using-network-scan-data-and-automation.html

[6]https://github.com/slaeryan/DetectCobaltStomp

其中,从对该公司的其他文章可以看出,其对每种木马都进行了网络特征提取。

与上文一样同样识别各个主机商等。

并通过该特征获取到大量关于木马的回连IP资产,汇成表格。这个是2015年的图,这么多年过去了,依托这套流程Recorded Future着实收集了不少威胁情报。

上期(可点击):Telegram附近的人功能存在安全风险,可被用于探测用户位置


blackorbird
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux dns递归功能,DNS服务之递归
weixin_39729784的博客
05-13 919
1.主从DNS:主DNS:进行数据修改并在修改后主动向从DNS发送数据已经更新的信息;从DNS:主动请主DNS进行数据同步;2.从DNS区域数据文件中:type slave;master {主DNS服务器IP地址;}; #从哪一台主DNS服务器中同步数据3.DNS服务器建立后不应该给所有的用户进行递归,如果用户把他的DNS指向我们的DNS服务器并且要求递归时,用户若是发起恶意查...
DNS递归查询与迭代查询
dicungu7696的博客
08-20 1738
基础知识 1.域名系统 2.域名服务器 域名解析过程 1.在浏览器中输入www.qq.com域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射,完成域名解析。2.如果hosts里没有这个域名的映射,则查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。3.如果hosts与本地DN...
漏洞解决方案-远程DNS服务允许递归查询
smart的博客
09-08 1万+
解决方案-远程DNS服务允许递归查询前置知识修复方案 前置知识        默认情况下,DNS 服务器会代表其 DNS 客户端以及已将 DNS 客户端查询转发给它的 DNS 服务器执行递归查询。递归是一项名称解析技术,借助此技术,DNS 服务器可以代表进行申请的客户端来查询其他的 DNS 服务器以完全解析名称,然后将应答发回客户端。        攻击者可以使用递归来
linux服务篇-DNS服务
太极淘的博客
05-17 1728
DNS(Domain Name System,域名系统),在TCP/IP网络中有非常重要的地位,能够提供域名与IP地址的解析服务,简单的说,域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。但是实际上是通过ip去访问的!通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。 DNS功能 互联网上(或者局域网)的每一台主机需要互相访问通讯,都必须有一个IP地址,或者IPV4,或者IPV6,而每一个IP都可以有一个主机名
目标主机DNS服务允许递归查询漏铜处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-20 6792
背景: 因项目中安全扫描,发现漏洞:目标主机DNS服务允许递归查询;需要修补。 DNS递归和迭代查询回顾: 如图中所示一般client与DNS_server之间术语递归查询,DNS之间常用迭代查询,本地发送DNS(递归)查询请求到本地DNS(本地权威DNS),DNS收到请求后,代表或转发client的DNS(迭代)查询到其他DNS服务器,本地DNS在获取到权威DNS服务器或ip与域名的对应解析...
域名解析服务器原理递归查询,DNS系统原理及漏洞利用分析(上)
weixin_39669265的博客
07-30 1137
基于IP协议,两台计算机之间要实现通信有一个前提,就是它们分别有一个IP地址。由于我们大多数人都善于记住www.taobao.com之类的字串,而非一串如104.196.44.101一般毫无规律的IP地址数字组合,因此,需要一个程序将名称字串翻译成IP地址。在互联网上储存域名与IP地址间映射关系的一个分布式数据库,能够将名称转换为数字、数字转换为名称的程序就被称为DNS(Domain Name ...
手机恶意软件网络行为分析
01-19
分析并提出了手机恶意软件网络行为分析计算方法以及网络侧的实现方案。该方法综合考虑了手机恶意软件网络行为指数以及病毒体行为特征双因素,从而提高了手机恶意软件研判的及时性以及准确性,对现网手机恶意软件实时...
Android恶意软件检测技术分析和应用研究
01-14
服务端检测系统主要负责对手机端提交的可疑样本进行检测,同时实现了软件行为分析,特征库更新,与手机端同步等功能。其中服务端检测技术包括基于permission检测技术、基于字节码静态检测技术和基于root权限的动态...
加密流量恶意软件分析在金融场景的实践.pdf
08-10
安全概述 加密流量的异常检测 多模型融合的恶意软件分析 PRS-NTA 斗象&F5联合解决方案
2017恶意代码威胁回顾和快速分析实践.pdf
08-08
2017供应链攻击,勒索事件和Office漏洞层出不穷,恶意代码的复杂性也在不断进化。我们下面将分享一些在我们日常工作中针对不同类型样本自动化分析的一些方法和例子。我们会结合过去一中的重点事件讲述这些技巧的...
恶意软件分析工具IDA7
04-05
恶意软件分析工具IDA7
DNS递归查询以及迭代查询
weixin_49401971的博客
01-18 1840
DNS域名查询的两种方式
dns服务器的递归查询
weixin_40857858的博客
08-08 497
带你深入了解 DNS 解析原理-递归与迭代
wangzan18的博客
11-12 8414
一、什么是DNS 域名系统 (DNS) 将人类可读的域名 (例如,www.amazon.com) 转换为机器可读的 IP 地址 (例如,192.0.2.44)。 DNS 服务的类型 权威 DNS(Authoritative DNS):处于 DNS 服务端的一套系统,该系统保存了相应域名的权威信息。权威 DNS...
DNS原理总结及其解析过程详解
热门推荐
yipiankongbai的专栏
05-07 12万+
一、域名系统 1、域名系统概述         域名系统DNS(Domain Name System)是因特网使用的命名系统,用来把便于人们使用的机器名字转换成为IP地址。域名系统其实就是名字系统。为什么不叫“名字”而叫“域名”呢?这是因为在这种因特网的命名系统中使用了许多的“域(domain)”,因此就出现了“域名”这个名词。“域名系统”明确地指明这种系统是应用在因特网中。        
【基础服务】简单理解DNS的递归、迭代查询 - DNS(一)
weixin_34107955的博客
05-10 569
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在RFC文档中RFC 2181对DNS有规范说明,RFC 2136对...
关闭bind 递归查询 加固其安全
fred's blog
11-17 5592
<br />默认情况下 bind关闭了 转发查询,但是递归查询是开启的,由于公司的服务器是只针对公司的域名进行服务的,它不是公共DNS 所以没有必要开放递归查询功能。<br />关于递归查询与迭代查询的区别,看看定义。<br />递归查询:A->B->C->D->E 然后B 告诉A 地址<br />转发查询:A-->B A->C A->D A->E 然后A 得到地址。<br />所以如果我们的DNS负载很重的话,关闭递归查询是不错的建议。<br />怎么关呢?<br />allow-recursion {
python恶意软件分析工具
最新发布
09-03
一种常用的Python工具用于分析恶意软件是名为pefile的模块,该模块由Ero Carerra编写和维护。pefile是一个行业标准的恶意软件分析库,用于解析PE文件。通过使用pefile,可以对PE文件进行静态分析,包括检查其中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值