在上期讨论的内网威胁检测方案中，见【一场美国大片引发的关于内网威胁检测的思考】我们分析了APT的入侵特点与检测手段。现在我们再回到电影《谍影重重5》的黑客攻击片段中，当黑客开始下载机密文件时，CIA的安全人员迅速在这些正在被下载的文件中植入了恶意代码，看过影片的人都记得，在后面的情节中，当这些带有恶意代码的机密文件在被打开时，恶意代码会迅速地回连到CIA的监控系统，从而轻而易举的定位到具体位置。

在这段情节中，我们重点关注的是恶意代码通过与监控服务器进行通信，提供了恶意代码运行主机的位置信息，这体现了恶意代码的典型特点，即所谓的回连（Call-back）方式，与命令和控制服务器（C&C主机）进行信息的传递，并获得下一步活动的指令。

回连行为分析

虽然恶意代码的注入方式是多种多样的，但回连行为是恶意代码的共同的特征。通过分析，可以看到恶意代码的回连行为主要有以下几个步骤：

1被感染恶意代码的主机（俗称“肉鸡”），通过网络试图与命令和控制服务器（称为“Command&Control”或“C&C主机”）建立连接。

2成功连接后，C&C主机会向肉鸡发出指令，让其在某个特定的时间，执行特定的任务，包括HTTP访问、发送垃圾邮件等等。

3根据C&C主机的指令，肉鸡就会在特定的时间开始执行攻击任务，而电脑的使用者可能完全没有感知。

当肉鸡与C&C主机的连接建立成功后，这台主机就成为这个僵尸网络的成员，并受到控制。在一个僵尸网络中，肉鸡的数量可能是几千、几万甚至数百万。那么接下来C&C主机就可以向肉鸡发送指令，参与到各种网络攻击活动中，常见的攻击类型包括：

◆ 向特定网站发起网络请求，如HTTP、DNS等，成为DDoS的帮凶。

◆ 向特定邮件服务器，发送预先构造好的广告邮件或病毒邮件。

◆ 盗取内部数据并上传到文件接收服务器，造成数据泄露事件。

◆ 肉鸡运行加密程序，通过C&C主机下载密钥，对肉鸡的文件进行加密。

对于最后一种类型，被感染恶意代码主机上的文件将会被加密，甚至可能被勒索金钱，这也是加密勒索软件的工作模式。由此可见，恶意代码的回连行为带有极大的危害性，一旦主机获取了C&C主机发出的指令，就可能进行网络攻击。

启明星辰FlowEye产品解决方案

启明星辰FlowEye产品采用旁路镜像的检测方式，检测被感染的终端或服务器到C&C主机的通信行为，检测原理如下：

在上图中，交换机节点对网络中用户、设备和流量的实时状态进行感知并将主机的通信行为以镜像流量的形式发送到FlowEye的流量探针，探针对流量完成解析之后，将相关的通信行为发给FlowEye集中数据中心，FlowEye集中数据中心对通信行为和目的地址进行分析，识别出肉鸡到C&C主机的通信行为。整个过程如下：

1. 被恶意代码感染的主机，与C&C主机建立了通信连接；

2. C&C主机的返回流量中包含了操作指令；

3. 网络设备记录行为并将流量镜像后发送到FlowEye流量探针；

4. FlowEye流量探针对网络行为进行分析和整理并发送到FlowEye集中数据中心；

5. FlowEye集中数据中心通过与资产管理系统进行联动，将网络行为中相关的资产信息进行补全，同时结合FlowEye内置的威胁情报信息，对网络行为和行为中的外部地址进行分析；

6. FlowEye集中数据中心发出C&C通道告警，识别出肉鸡访问C&C主机的异常行为，并提供相应的内网资产信息。

结束语

没有网络安全，就没有国家安全，尤其是木马C&C的泛滥，更是对国家安全的挑战。启明星辰FlowEye帮助您保持内网的纯净，避免自身遭到损失的同时，也避免成为网络犯罪的间接帮凶。