2022 年 Recorded Future C&C 服务器跟踪报告

Recorded Future 研究了 108 个家族的漏洞利用工具包、开源远控木马与恶意软件，持续跟踪背后的 C&C 基础设施。2022 年发现了超过 17000 个 C&C 服务器，比去年增加了 30%。

背景

攻击者启用 C&C 服务器前需要有一系列准备工作：

• 通过合法或者攻击手段获取服务器、域名

• 安装软件、调整配置

• 配置证书、上传文件

• 通过 SSH 或者 RDP 对 C&C 服务器进行控制

• 开放端口能够暴露控制面板

由于 C&C 服务器在启用前就会有配置和调试的过程，也不可避免地会留下痕迹，例如服务器部署的软件版本、控制面板的特征、证书的模式等。

威胁分析

前五位的 C&C 家族，不仅有后渗透框架（Cobalt Strike）也有远控木马（PlugX、DarkComet）与僵尸网络（Emotet）。

数据看，尽管 Cobalt Strike、Meterpreter 和 PlugX 这些恶意软件已经持续了很多年，但还是在持续增长。另外，Emotet 已经走出阴霾，全面恢复运行。

从占比来看，Cobalt Strike 接近一半，一骑绝尘。其次为 Meterpreter 与 Emotet 恶意软件。而常见的 BumbleBee、AsyncRAT 与 IcedID 也都位列前二十。

• PlugX（增加 51%）

• Remcos（增加 51%）

• DarkComet（增加 44%）

• QuasarRAT（增加 40%）

• Mythic（增加 33%）

• AsyncRAT（增加 24%）

增量较大的都是已知的，而非新的恶意软件家族。这表明，攻击者相比不可检出的隐蔽性，现在更在意即便检出后的不可归因。而且，开发定制化工具需要巨大的成本与超凡的技能。攻击者只需要购买商业工具或者使用开源工具，就能够达到目标。

僵尸网络，不遑多让

2021 年，Emotet 在被执法行动打击后几乎消亡。其余僵尸网络活动增强，试图递补空位。

在 2022 年，Emotet、Dridex、IcedID、QakBot 和 TrickBot 是发现 C&C 服务器最多的僵尸网络。

俄罗斯，高速迭代

与其他 APT 组织相比，俄罗斯的 APT 组织在 C&C 服务器的运营安全性上更为慎重。例如经常使用独立的攻击基础设施，只用于攻击的单个目标。

以 WellMess 恶意软件使用的 C&C 服务器 GRAVITYWELL 为例。2020 年 7 月，英国国家网络安全中心（NCSC）披露了有关 GRAVITYWELL 的 C&C 攻击基础设施。8 月，攻击者就火速更换了一批不同证书的服务器。2021 年 7 月，又由 RiskIQ 披露了一批 C&C 服务器。一个月内，攻击者再次完成了攻击基础设施的更换。

后渗透框架，百花齐放

Cobalt Strike 仍然是最受欢迎的，并且领先优势还在进一步拉大。其他框架，例如 Covenant、Mythic 和 Metasploit/Meterpreter 并未显著大幅增加。

PlugX，并未减少

尽管都在说 ShadowPad 会取代 PlugX，但观测到 PlugX 的数量甚至有所增加。

注：AXIOMATICASYMPTOTE 为 ShadowPad 的攻击基础设施命名名称。

全球概览

与 2021 年相比，2022 年检测到的 C&C 服务器数量增了 30%。一共 17233 个 C&C 服务器，分布在 116 个国家/地区的 1419 个自治系统中。部署在中国的 4265 台、部署在美国的 3928 台，部署在中国香港的 1451 台。这三个国家/地区合计占到所有 C&C 服务器的 55%，TOP 10 的国家/地区占到总量的 88%。

从自治系统来看，腾讯的 AS45090 跃升至第一位，阿里也有 AS37963 与 AS45102 冲入前十。

Cobalt Strike 是所有托管服务提供商中发现最多的恶意软件家族，在许多情况下紧随其后的是 Meterpreter。

BumbleBee 有 26% 在 M247 Ltd 和 OVH SAS 上，而 Cerberus 有 57% 在 Microsoft Corporation 的基础设施上。

按照恶意比例来看，像 UAB Cherry Servers、BL Networks 或 KURUN CLOUD INC 本身就存在大量恶意流量。而 HDTIDC LIMITED 早就被很多攻击者当作首选服务提供商。以及，Flyservers SA 或 Chang Way Technologies Co. Limited 也是知名的防弹主机服务提供商。

总结

预计 2023 年，Cobalt Strike 与僵尸网络仍然将占据观测到的 C&C 服务器的大多数。与此同时，针对逃避 EDR 检测而生的 BRc4 的使用率估计会大幅攀升。

Redline Stealer、QakBot 和 Nanocore 等恶意软件家族使用随机端口和非标准端口获得了不错的成效，这为研究人员使得通过网空探测跟踪的方式带来了巨大的压力。

点击阅读原文即可查看原始报告

原文始发于微信公众号（威胁棱镜）：2022 年 Recorded Future C&C 服务器跟踪报告