2016年上半年,腾讯大爆发
克日,腾讯平安团结实验室反病毒实验室哈勃分析系统,发布了5月份威胁情报的故事——C&C服务器文章(以下简称《讲述》)。 日,腾讯平安团结实验室反病毒实验室哈勃分析系统发布了《5月份威胁情报情况》——C&C 服务器文章(以下简称故事)。根据《故事》,哈勃分析系统在5月份捕获。C&C威胁情报的服务器总数超过1400万,日均近50万。.com顶级域名仍然是大多数木马的首选。在国家顶级域名中,中国顶级域名.cn第一。值得注意的是,美国已经成为超过一半的比例C&C服务器数目最多的国家,其次为中国。
??C&C服务器数量排名第一 《故事》指出,随着恶意木马产业的发展,许多木马摆脱了以往的单打独斗作战模式,转向使用网络相互关联,通过指挥大量被熏制的计算机共同行动。其中,指挥的关键节点是C&C服务器。一方面,它可以吸收被控制计算机上活跃木马的信息,了解系统环境、可用性甚至隐私信息;另一方面,它还可以向计算机发送控制指令,指示木马执行恶意行为,满足控制器的不同需求,甚至在线升级,使木马具有更多的邪恶能力,然后造成更大的损坏。 C&C在服务器时,域名将用于定位服务器。根据该数据,.com顶级域名仍然是大多数木马的首选。在国家顶级域名中,中国顶级域名.cn第一。
(C&C另外,一些木马也使用动态域名来定位C&C在5月份的威胁情报数据中,使用动态域名的木马比例为2.31%。
(C&C服务器使用动态域名情况漫衍图) 《故事》还显示,通过域名分析,哈勃分析系统通过整理、统计木马直接接触和接触C&C服务器IP,并通过IP找到服务器所在区域发现,美国已经成为超过一半的比例C&C中国是服务器数量最多的国家。
(C&C服务器IP漫衍舆图) 
(五月C&C服务器IP漫衍Top10国家)直接使用 IP地址接见C&C哈勃分析系统还统计了服务器中使用的端口信息。根据该描述,大量木马倾向于使用常用的端口-443端口和80端口和浏览网页C&C服务器通信。通过这两个端口传输的数据很有可能被防火墙、网关等网络安全设备释放,恶意木马利用这两个端口传输数据。
(C&C端口漫衍图用于服务器??恶意行为木马 Downloader类成最大危害 通过分析从木马中自动提取的威胁情报,腾讯安全联合实验室Pwnie Awards提名
哈勃分析系统还原了木马和C&C服务器举行通讯的细节,并凭据其中的主要特征对木马举行分类。《讲述》显示,Downloader五月份类木马占比较大,中下旬明显增加,其次是Worm_email类木马,而Backdoor类木马则是在下旬有仰面的趋势。
五月木马分类日统计) Downloader类木马的主要行为是从互联网上下载恶意可执行文件。木马运行后,从C&C下载恶意程序或包含指向恶意程序链接的配置文件。木马作者可以控制它C&C服务器,指定木马下载的内容,然后执行其指定的任何恶意行为。 Worm_email类木马主要通过电子邮件进行蠕虫传输,即通过电子邮件进一步传输到其他计算机。它将搜索和收集文件中存储的电子邮件地址,然后将自己作为附件发送到电子邮件地址,以实现广泛的传输。 只是在5月份的数据中,Backdoor类木马仍然是木马作者进行远程控制的主要手段。文件级别的交互关系不同于其他威胁情报,Backdoor类木马可以和C&C服务器进行指令级沟通,并通过预先说明的指令进行恶意响应,包括网络系统信息、上传敏感文件、窃取账户信息等。 ??借力C&C服务器 木马恶意控制用户手机 与计算机相比,智能手机中的木马更倾向于使用手机和电子邮件来控制受害手机的信息网络,但仍有部门使用木马C&C服务器的方式达到同样的目的。据分析,手机木马使用C&C大多数服务器用于存储广告、恶意APK其他文件的下载地址是专门为木马下载的,很少有手机木马与服务器进行巨大的通信或通信。C&C服务器IP四川绵阳、山西长治、江西南昌排名前三。IP总量占所有数据的总量71.83%。
(手机木马C&C服务器IP漫衍Top3区域) 根据叙述的效果,哈勃分析系统建议用户始终从正式网站或官方网站下载和使用软件,不要相信小网站和网络磁盘共享的文件,也不要下载社交渠道推荐的软件,如小组和论坛。对于不安全的软件,您可以使用哈勃分析系统进行测试,以及时发现风险。此外,安装和使用安全软件,并随时注意保持可用状态,可以有效防止病毒木马的入侵,并可以使用一些防火墙软件来阻止可疑的网络请求。此外,一些网络环境由网络管理员或网络安全部门维护,必要时需要配合其进行网络安全检测和设置。【关键词】哈勃 哈勃 C&C 服务器
警惕"假面鬼"伪装入侵计算机的官方文件