Gdy system zostanie naruszony, osoba atakująca musi mieć możliwość przeprowadzenia dalszego rozpoznania, wykonania poleceń, podniesienia uprawnień i dalszego poruszania się w sieci. Jednym z najlepszych sposobów osiągnięcia tego jest zastosowanie systemu C2. System C2 zazwyczaj ma agenta działającego na zaatakowanym hoście, który odbiera polecenia od osoby atakującej, wykonuje je, a następnie zwraca wyniki. Większość systemów C2 składa się z trzech komponentów: agenta działającego w zaatakowanym systemie, serwera pełniącego rolę pośrednika między osobą atakującą a zaatakowanym hostem oraz oprogramowania zarządzającego, które umożliwia osobie atakującej wydawanie poleceń. Agenci i osoby atakujące komunikują się z serwerem C2 za pomocą odpowiednich komponentów, umożliwiając atakującemu wysyłanie i odbieranie poleceń bez konieczności bezpośredniej komunikacji z zaatakowanym systemem. Agenci mogą komunikować się za pośrednictwem wielu różnych protokołów, w zależności od oprogramowania C2, ale popularnymi protokołami są HTTP, HTTPS, DNS, SMB, surowe gniazda TCP i RPC. Gdy osoba atakująca uruchomi agenta w zaatakowanym systemie, agent połączy się z serwerem i wyśle do systemu podstawowe dane klienta, takie jak poziom uprawnień, użytkownik i nazwa hosta. Serwer sprawdzi, czy są jakieś oczekujące zadania, a jeśli ich nie ma, serwer i klient albo utrzymają zawsze aktywne połączenie, na przykład za pomocą surowych gniazd TCP lub trwałych gniazd HTTP/HTTPS, albo skonfigurują okresowa odprawa, często nazywana czasem nawigacyjnym. Ten czas sygnalizowania to przedział czasu, w którym agent skontaktuje się z Tobą w celu odprawy i dodatkowych zadań. Czasy działania sygnału ostrzegawczego są ważne dla bezpieczeństwa operacyjnego. Zbyt krótki okres czasu spowoduje, że będziesz bardzo głośny, ale dłuższe czasy oznaczają mniej poleceń, które możesz wykonać. Wybór czasu między sygnałami nawigacyjnymi powinien opierać się na celach testu i tym, czy bezpieczeństwo operacyjne stanowi zagrożenie. Jeśli nie stanowi to problemu, bardzo krótki czas świecenia pozwala osiągnąć więcej, ale jeśli tak jest, rzadsze i losowe meldowanie się utrudnia dostrzeżenie wzorców, które mogą spowodować wykrycie. Wykrycia mogą opierać się na częstotliwości meldowania się (ile razy dziennie), natężeniu wysyłanego ruchu, stosunku danych wysłanych i odebranych lub próbach wykrycia wzorców. Wiele systemów C2 ma koncepcję jittera, czyli odchyleń taktowania, którą można zastosować do czasu zameldowania, aby pomóc w unikaniu. Wszystkie systemy C2 mają różne funkcje, ale niektóre typowe obejmują możliwość tworzenia ładunków agentów, możliwość wykonywania poleceń i uzyskiwania wyników oraz możliwość przesyłania i pobierania plików. Istnieją bezpłatne wersje narzędzi C2 obsługiwane przez społeczność, takie jak Metasploit, PowerShell Empire i Covenant. Istnieją również narzędzia komercyjne, takie jak Cobalt Strike i INNUENDO, które mają wsparcie. Wybór systemu C2 powinien być podyktowany Twoimi potrzebami. Nowe systemy C2 wychodzą cały czas, a inne stają się niewspierane. Jeżeli jesteś zainteresowany doborem systemu C2 do swoich potrzeb.