在之前的文章中(APT攻擊背后的秘密：攻擊性質及特征分析;攻擊前的"敵情"偵察;攻擊時的武器與手段;攻擊時的漏洞利用)，我們已經了解了APT攻擊的特征、"敵情"偵察、攻擊的武器和手段以及APT攻擊的漏洞利用。本文我們將探討APT攻擊中的命令和控制，在這個階段，攻擊者已經侵入了你的網絡，并將開始進行最后的攻擊活動，這個階段通常被稱為C2。

攻擊者已經完成了偵察、武器化和傳送以及漏洞利用和安裝階段，現在的問題是，你是直接攻擊目標還是為攻擊者提供攻擊機會?這個問題的答案將決定你如何應對C2階段。

正如前面提到的，被動攻擊(即你不是直接攻擊目標)很被動。因此，當終端因為路過式下載攻擊或惡意郵件附件被感染時，安裝過程非常容易檢測。但有時候路過式攻擊會利用漏洞利用工具包，而這只需要很少的用戶交付，也可能無法被檢測。

前面的文章中也提到過，被動攻擊活動主要取決于攻擊量。當攻擊者收集了身份驗證和財務信息(一般攻擊的主要目標)后，攻擊者需要為每臺感染主機建立一個C2通道。在這種情況下，沒有變種和流量限制，只有對數千臺感染主機的一個聯系點。

C2階段主要是關于通信，但要記住，C2階段并不包括數據傳輸。C2階段是建立通信通道，允許攻擊者與外部溝通。

被動攻擊是自動化的。自動化可以幫助攻擊者實現攻擊量，因為幾乎不需要交互。然而，這種自動化意味著他們可能被發現。當企業內50個系統與相同未知主機通信，可能會被注意到。

有針對性的攻擊則更具體，幾乎沒有自動化。攻擊者將會發出命令，并使用特定的工具。有針對性攻擊的所有活動都是有目的的，并會努力逃避偵察，盡量保持低調。

當你的企業淪為被動攻擊受害者，攻擊者使用的自動化工具無法逃避現有安全控制和緩解措施的檢測，因為它們制造了太多動靜。因此，企業應該盡快阻止這種攻擊。

需要注意的是，被動攻擊采用自動化方式是因為，這些攻擊活動背后的操作者更側重攻擊量，而不是控制。如果他們的惡意軟件或其他有效載荷被發現和阻止，這并沒什么大不了，他們可以馬上轉移到其他受害者。

然而，如果企業淪為有針對性攻擊的受害者，這意味著攻擊者將會在企業內找到立足點，并會繞開安全控制或禁止安全控制來避免被發現。此外，攻擊者還會試圖建立后門程序到其他系統，創建更多切入點，以防其中一個切入點被發現。因此，在企業的事件響應計劃中，一個很好的經驗法則是，如果你看到一個后門程序，這意味著還潛伏著其他后門程序。

“堅實的”C2是指攻擊者可以動態調整其程序，增加事件響應者手動檢測的難度，甚至不可能。這也是數據泄漏事故很長時間才被發現的原因。

正如第三篇文章中所述，攻擊者往往會回調以獲取額外的工具，或使用有效載荷發出外部請求。這些感染指標能夠清楚地揭示C2活動，因為與正常網絡流量相比，這些有些異常。

因此，企業應該對比DNS請求和已知惡意服務器列表，或者過濾有著不良聲譽的IP地址，以應對這種類型的流量。在漏洞利用和安裝階段后，C2階段是攻擊者少數制造動靜的時期。然而，當這些流量被自動化檢測標記時，則表明是被動攻擊。

這樣想，如果攻擊活動背后的操作者在使用C2通道或者從已知惡意來源下載有效載荷，你的企業可能是攻擊者的目標之一。在另一方面，有針對性攻擊活動背后的操作者會謹慎避免被檢測。他們會將C2流量隱藏在正常通信通道內。

在C2建立后，攻擊者就成功了一半。一般被動攻擊是自動化的，動靜很大，并且會立即發動攻擊，而有針對性攻擊則會潛伏數天、數周甚至數月。因此，在C2階段，流量監控是關鍵防御措施。如果能夠結合前面提到的防御措施，你就建立了一個強有力的分層保護。

只要正確配置和維護(包括定期更新)，IPS和IDS系統可作為第一層防御。然后，企業需要ACL規則來通過防火墻限制入站和出站連接。然而，還需要限制防火墻規則中例外的數量，并且需要對這些例外進行密切檢測，或者在不需要時撤銷。在有針對性攻擊期間，你的安全規則和政策可能被用來針對你，特別是當它們過時或不受監管時。

最后，企業應該監控網絡上流量的移動情況，更重要的是，監控移動到外部的流量。同時，關注紅色標記的事件，例如修改HTTP表頭，以及到未知IP地址或域名的連接。加密流量是被動攻擊和有針對性攻擊活動使用的常用技巧，在這種情況下，C2可能更難被發現，但也不是沒有可能。你可以查找自簽名證書和未經批準或非標準加密使用。