第七课 深入理解杀伤链和钻石模型（二）

通过在海量日志中搜索失陷主机的网络行为，可以快速地发现一些可疑行为，例如攻击者利用失陷主机作为跳板机攻击内网其他资产、失陷主机与外网FTP服务器产生大流量会话等。但分析这些数据显然是费时费力的，而且很多时候分析师发现的可疑行为最终会确认为主机的正常行为。因此在分析前要评估这种分析的收益，分析的速度很难追得上入侵的速度。

C2通信解码在很多情况下都无法进行，这受限于很多条件，例如是否已经掌握了C2通信使用的协议信息，我们是否能获取到C2通信的完整数据包。建立全流量完整存储的安全设施成本非常高，但收集到的数据包对于入侵分析来说价值也非常高，许多安全厂商在全流量存储的基础上，增加了自己的安全检测规则。然而很多厂商的产品为了检测能力却牺牲了存储全流量的能力，因此很多组织开始使用开源全流量存储项目（https://staff.washington.edu/corey/gulp/）并进行二次开发来实现全流量存储。

解码C2通信的数据是非常困难的，因此在这个案例中我们不进行列举。想要对C2通信进行解码，我们通常需要对后门样本进行逆向分析，到目前为止我们还没有拿到样本。除了逆向分析外，还有一个更为快速的手段，那就是询问其他分析师，他们可能已经分析过这些通信特征并公开了出来。

MITRE公司有一个公开的使用Python开发的C2通信解码工具，叫做ChopShop，了解更多可以访问：

https://www.mitre.org/our-impact/intellectual-property/chopshop

除了MITRE的工具，美国军方也公开了一个C2通信解码工具——Dshell，SANS ISC有一篇介绍这个工具的文章：

https://isc.sans.edu/diary/Another+Network+Forensic+Tool+for+the+Toolbox+Dshell/19277

PaloAlto的unit42研究员有一篇netwire恶意软件C2通信的案例，文章链接如下：

https://unit42.paloaltonetworks.com/new-release-decrypting-netwire-c2-traffic/