关于僵尸网络和C&C服务器

僵尸网络（简称“机器人网络”）是由感染的计算机网络的恶意软件在一个攻击方的控制之下，被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看，攻击方可以命令其僵尸网络上的每台计算机同时执行协调的刑事诉讼。僵尸网络的规模（许多由数百万个僵尸程序组成）使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸网络仍然受远程攻击者的控制，受感染的计算机可以动态接收更新并更改其行为。因此，僵尸牧民通常能够在黑市上租用他们的僵尸网络段，以获得巨大的经济收益。

DDoS攻击 - 利用僵尸网络的大规模来使目标网络或服务器超载请求，使其无法访问目标用户。不法分子执行DDoS攻击针对个人或政治动机或勒索付款以换取停止攻击。

C&C服务器指挥控制僵尸网络的主控服务器，用来和僵尸网络的每个感染了恶意软件的宿主机进行通讯并指挥它们的攻击行为，如果C&C服务器出现问题，那么整个僵尸网络将瘫痪。

一.通过IP地址访问C&C服务器
最简单的方法就是租用一台云服务器，将服务器ip直接写远控脚本中反弹的ip中，然后所有肉鸡都会每隔一段时间与这个ip进行一次通信，我们也就可以在服务器上用脚本控制僵尸网络发动攻击。
但是由于ip地址是直接写死在远控脚本或远控程序中的，如果对方捕获了远控脚本或者远控程序，进行简单的二进制逆向扫描就可以得到我们服务器ip地址，并且对方机器经常访问同一个ip也会增加被发现的几率。一旦被发现，对方直接将ip加入黑名单，并且将ip提交给我们购买云服务器的提供商，服务器被封禁就会使远控全部失效。

二.通过域名访问C&C服务器
通过域名再指向服务器比起直接指向服务器只是将反弹ip改为反弹的域名。如果注册一些较正常的域名并且做一个伪装的主页，被发现的几率就会降低，而且直接二进制扫描不会被发现。但是逆向程序或着搭建蜜罐进行动态测试，很容易就能追踪到这些域名，将域名丢给运营商的黑名单就会造成大规模的远控失效。

三.多个域名和IP
如果我们有M个域名和N个ip这样就产生了M*N组的C&C通道，不会因为个别的服务器或域名被封禁导致僵尸网络失效。

四.使用论坛等作为C&C服务器
自己架设服务器很容易被封禁，然后丢失僵尸网络的控制权，有的攻击者想到一个绝佳的办法：通过在一些论坛的冷门区域发一些C&C控制指令，然后让恶意软件通过爬虫在访问这些论坛的时候获取指令，最开始主要是在twitter上进行C&C控制，这种情况一开始很让安全人员头疼，因为访问这些论坛的请求本就和正常数据包差不多很难被发现，而且就算发现了，总不能把twitter的域名或者服务器添加很名单吧，这会影响网络的正常使用。后来发现了这种情况可以进行举报，从而封禁对应的账号。

当Twitter成为一个功能齐全的后门C&C服务
https://m.freebuf.com/news/81914.html
僵尸网络生成框架，仅用于学习，不可用于非法行为
https://github.com/malwaredllc/byob
https://github.com/proxycannon/proxycannon-ng
https://github.com/byt3bl33d3r/gcat ，使用 gmail 作为 C&C 服务器
https://github.com/Ne0nd0g/merlin C&C 通讯，一对多