資安名詞-惡意中繼站, C2
目錄
惡意中繼站是指具備命令與控制能力的伺服器 (Command & Control, C&C)或叫C2 server。
通常為被駭客入侵的主機,並用利用此受駭主機來對其他入侵後的主機進行連線與操作。
依手法不同,可見為IP或Domain的形式。不論IP或Domain這類情資的都有一定的時效性,有時駭客可能只針對些一案場,或當時的攻擊程式而設定中繼站,因此情資的更新也是相當重要的一環。
中繼站情資的應用
在應用上,可以監控組織內部的 DNS Server log 、防火牆 log ,跟所收到的情資來比對,看是否有異常的連線行為。同時,如果有 IPS 或是 NGFW 等設備,也會有相關的情資或流量的分析,也需將相關的 log 加入監控,更能清楚的瞭解內部的網路狀況。
延伸閱讀
參考網站
- https://cybersecuritynews.com/command-and-controlc2-server/?fbclid=IwAR0EEW4faI6odNZfZ1_R2y-jU84TGOuFuOze5t_HE9Li-3yxiLLDTokSv2A&