威胁情报是指在信息安全和安全防御领域，收集、分析和解释与潜在威胁相关的信息，以便预先发现并评估可能对组织资产造成损害的潜在威胁，是一种多维度、综合性的方法，其通过信息的收集、分析和研判，帮助组织了解可能对其安全构成威胁的因素。这种方法不仅仅着重于技术层面，还包括了社会、心理、政治等多个维度，以此更好地应对不断变化和复杂化的威胁环境。旨在为分析人员提供关键信息，帮助他们采取预防措施和应急响应策略，从而降低威胁应对实施的风险和影响。

前言

随着愈发严峻网络攻击对抗环境，网络威胁情报逐渐在攻击行为分析中扮演着不可或缺的角色。网络威胁情报的重要性主要在于其能够帮助组织了解自身所面临不断变化的威胁，提供数据驱动的防御策略，减少潜在的风险和损失，并为建立更强大的信息安全体系提供支持。

本文聚焦于针对C2基础设施视角下的威胁情报对抗策略，文内笔者将对于威胁情报分析过程的攻防思路展开论述。从高级攻防过程中，攻击者的视角来看威胁情报的分析思路，浅析在情报研判及狩猎过程中存在的问题。在工作过程中，笔者发现，站在攻击视角看待威胁情报是十分必要的，我们需要从攻击者的角度去思考威胁情报中可能存在的不严谨的地方。当发生攻击行为时，研判人员的分析思路是基于自己对于攻击的理解还是客观情报？相信通过本文读者将对此有所思考。由于威胁情报的对抗概念较为广义，涵盖了很多不同的细分方向，限于篇幅，本文将仅讲解C2基础设施对抗的方向。

本文仅为作者个人观点，如有不恰，请指正。

攻击者视角下的威胁情报研判思路

在看到疑似攻击行为时首先应该想一下，我们所看到的威胁情报是否完全真实？分析安全事件时，威胁情报应作为辅助判断依据，但不应该是决定性的因素。分析人员判断安全事件的第一准则即“行为”，而行为概念在网络空间测绘中也有体现，但是两者之间存在互通又具有歧义。在威胁情报流量侧狩猎的过程中，行为主要是该主体做了什么，聚焦于通信过程，而测绘中则为个体独有特征，目的为最终能够形成指纹。但是该主体所表现得特征同样可以作为威胁情报的聚焦信息之一，以此来关联其某一组织的资产设施。

行为：不同的群体，可能表现出基本的独有的特征，当我们能掌握到这个特征，那么我们就能尽可能识别出这个群体里的所有个体，而这些行为特征在网络空间测绘里表现出的是这个设备各个端口协议里的banner特征。

这里可以把行为理解为特征，而如何提取这些特征，进行更加精准的匹配无疑也成为了最重要的环节之一。

为了形成某APT组织的设施资产，我们应该提取这些设施所表现的**“行为”，从而构建出能够指向性该组织资产的指纹，所以继而我们要引入一些更加“精准”、“特异”、“不可更改”**的个体特征，可以决定性的指向某个人或团伙的资产范围，既要精准的区分目标资产又要具有特异性，不可以被轻易修改的特点。

这里我认为，在威胁情报针对某一组织或某特殊C2设施的资产标记时，分析人员可以通过做出相关指纹进行初步资产过滤，再进一步对关联到的资产进行验证，最终同步到威胁情报中，而威胁情报的狩猎，宁可不全，也不要出现不准确的情况，给后续面对攻击事件的分析人员造成误导。

针对恶意样本的威胁狩猎，针对样本侧进行定位，分析流量侧通信情况，同步至威胁情报端，体现在情报侧对C2进行综合研判，标注恶意行为这样的过程。而流量在这个过程中起到了至关重要的作用，在当下的攻防对抗进程中，武器化工程师对于样本的生成已经做到了很精巧的地步，各种白+黑层出不穷，所以通信行为无疑是需要更加注意的地方，用一句话来总结就是不要看它的外在，而要看做它了什么事情。

C2设施通信特征：

• 回连地址

• 通信内容

• 特殊信道

• 通信频率

• 持续时间

• .....

我觉得，通信内容的检测始终是一个难点，经过加密的通信流量，无法获知加密后的通信数据，传统明文检测使用的规则匹配、载荷还原检测等流量检测技术无法对加密会话所传递信息内容进行检测。像C3 这类利用流行应用程序的合法功能来伪装受感染端点和 C2 服务器之间通信使得威胁追踪更加困难，面市面上针对加密流量检测的产品面对高版本TLS协议基本是束手无策的。通信频率即心跳包，稍加进行心跳静默+偏移即可绕过，这也是基本操作。因此，在以后的攻击者对抗中可能会开始发现利用更隐蔽的C2信道，情报团队应加快分析端点机器数据以便快速检测整个杀伤链中的威胁。

针对自签名类样本，代码签名的指纹无疑是一个不错的思路。

我认为根据代码指纹为基础，可以针对一些自签名的证书样本做关联，之前有了解过微步的OneSec，那么有没有可能以此去关联组织中传输的恶意样本之间的关系。他这个签名的指纹，应该是以该证书签名的程序均是同一个，而攻击者通常会给程序进行白+黑签名，对应多个样本的前提是他们都是这个证书签名的。**如果在终端设备上已经部署了Agent，那么将关联终端可疑程序的签名指纹对比，以云沙箱的检出情报为基础，识别相同代码签名的恶意程序，来作为一个检出依据，我认为这样的思路如果应用在组织架构的环境下应该是可行的。**当然，具体可行性还是要专业人员思考，理论商所有以Agent端部署作为防护基础的设备应该都是可以借鉴的。

组织应始终关注自身风险暴露面，以情报为驱动，关注舆情（代码泄露、联系方式、数据泄露、供应链风险），可能某些数据泄露事件的后期影响会直接导致相关组织发生安全事件。随着组织业务的发展，业务云上化、移动办公需求、合作伙伴、分支机构的拓展，安全风险会逐步上升，所以需要更加关注近期发生的安全情报。 站在攻击者的角度，渗透并不会从最安全的位置发起，而是观察与目标有关联的互联网资产、舆情以此作为移动至目标组织的特殊桥梁，须知木桶原则是从防御体系最薄弱的地方突破的。

总结一下，在威胁情报的狩猎过程中，未命中、发现的情报始终是最重要的，攻击已经成为事实的情况下，再进行情报狩猎分析只能在某种程度上减少组织的损失。威胁情报分析团队应加强针对正在进行攻击、已经发生攻击的事件的关注，在此基础上发掘将要发生攻击的事件，及时将攻击事件根据情报推送至处于高风险的行业，及时排查，将安全事件风险降低，做到事先预防、事后有效处置的举措。

对抗C2威胁情报的策略与实施

命令与控制服务器，也称为 C&C 或 C2，攻击者使用它来维持与目标网络内受感染系统的通信。“命令”和“控制”这两个术语经常被广泛使用，过去十年中，恶意网络攻击呈上升趋势。最具破坏性的攻击之一通常通过 DNS 执行，是通过C&C完成的，命令和控制被定义为威胁行为者用于通过网络与受感染设备进行通信的技术。

顾名思义，命令和控制服务器向受感染的系统（通常是家庭用户的连接互联网的计算机，然后形成僵尸大军，称为僵尸网络）发出命令和控制。这些通信可以像维护定时信标或“心跳”一样简单，以便运行攻击的操作员可以保留他们在目标网络中受到损害的系统的清单，或将它们用于更恶意的操作，例如远程控制或数据传输。渗漏。虽然命令和控制服务器用于控制目标组织内部的系统，但通常是受感染的主机发起从网络内部到公共 Internet 上的命令和控制服务器的通信。【Command-and-control servers: The puppet masters that govern malware】By Adam RiceJames Ringold, Westinghouse Electric Company

希望读者通过阅读本小段能够从攻击者的角度思考安全防范策略，了解新型的C2设施防护手段，本段也将从对抗威胁情报的C2基础设施的方法实施论讲解。下图为通过微步Graph生成的示意图，读者可以先阅读正文然后再看该图例，加强理解相关技术思路，以实现更好的阅读效果。

[^微步情报]: Graph概览

RedGuard是基于命令与控制（C2）前端流控技术的衍生工具，具有更轻量级的设计、高效的流量交互以及可靠的兼容Go编程语言开发。随着网络攻击的不断演变，红蓝团队随着演练变得越来越复杂，RedGuard旨在为红队提供更好的C2通道隐藏解决方案，为C2通道提供流量控制，阻断“恶意”分析流量，更好地完成整个攻击任务。

RedGuard是一款C2前端流量控制工具，可以躲避Blue Team、AVS、EDR、Cyberspace Search Engine的检测。

Github下载地址

https://github.com/wikiZ/RedGuard

伪造TLS证书

在部署域前置隐匿C2流量时，默认情况下加速的域名是不具备HTTPS证书信息的，这样显然是存在问题的，所以配置域名时需要注意对证书进行配置，这也是判断样本是否为域前置流量的默认依据。