攻防对抗中的C2架构解析

“不要因为没有掌声而丢弃自己的梦想”

C2介绍

命令与控制（C2）是指在单个或一组目标受害者主机上建立和维持对植入工具的控制的过程。C2框架通常提供借助某个通信协议与植入工具进行通信的能力，向受害者系统发出命令，并且在C2服务器上接收这些命令的输出，使攻击者实现物理访问或直接的虚拟访问。

命令与控制（C2）协议依赖于每个受控植入工具和C2服务器之间的同步或异步通信信道。

CS 的原始通信架构：

    Cobalt Strike采用的是B/S架构，也就是常说的HTTP协议Client：就是控制端，即通过它来控制对方电脑。Server：即服务端。中转：放在VPS，可有可无，CS中转Teamserver就是一个WEB

注意，如果我们用其他程序搭建网站也可以做为中转，即可实现HTTP远控

关于架构：
C/S架构：Clinet/Server,主要指的是TCP，客户端和服务端，即便带个中转它也还是叫C/S架构
B/S架构: Browser/Server,主要是HTTP，无论直接通过浏览器操作，还是像CS加个中转再用客户端访问
RAT：Remote Admin Tools，远程管理工具，长期以来国内外通用叫法。
C2: command&control，从字面上就很好理解命令和控制，现在新叫法。不管任何协议，木马都可这样叫。

HTTP C2原理

1.搭建WEB,可Apache、IIS、Tomcat或其他人工具如Ladon、CobaltStrike2.通过HTTP协议获取指令、回传结果3.指令执行功能(CMD执行、文件上传下载、其它功能等)

Cobalt Strike

Cobalt Strike 的团队服务器其实也是一种 C2 服务器。

CS 的agent是当攻击者通过代码执行，有一个 agent 运行在目标网络中，就可以对目标网络进行命令与控制。所以 agent实际上相当于 Beacon payload。