C&C(Command and Control)サーバとは、インターネットからPCのマルウェアに対してCommandを送って、遠隔でControlするサーバである。
情報処理技術者試験では、「指令サーバ」と表現されることがある。
C&Cサーバ_情報セキュリティスペシャリスト試験
PCに感染したマルウェアへの通信プロトコルは、httpやhttpsが利用されることが多い。
情報セキュリティスペシャリスト試験を目指す女性SE 

へーそうなんですね。
以前のボットネット通信では、IRCが多かった気がします。
感覚論でしかないが、今は3分の2くらいhttp(https)のようだ。その理由について過去問(H26春FE午前問44)では、次のように述べられている。
「Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い」

マルウェアがC&Cサーバと通信する動作の一例については、過去問(H25SC秋午後Ⅱ問1)に、「図2 マルウェアPの特徴」として掲載されている。
・C&C (Command & Control)サーバとの通信にはHTTPを用いる。
・C&Cサーバとの通信をRC4で暗号化する。
・ブラウザのプロキシ設定を参照する。
・C&Cサーバからファイルをダウンロードして実行できる。
・C&Cサーバから指令を受けて,任意のシェルコマンドを実行できる。
・キーロギングし,その結果をC&Cサーバにアップロードできる。
・PC上の任意のファイルをC&Cサーバにアップロードできる。
・細工されたWebサイトやPDFファイルの閲覧時に,JREやPDF閲覧ソフトに敖弱性があると感染する。

この問題の続きを見てみよう。
攻撃者は、どうやってFWの向こう側からPCを遠隔操作するのかが記載されている。
X氏 :攻撃者は,マルウェアPを使って社内のPCを操作していたようです。
O部長:本社の環境では,インターネットからの通信はFWで制限しています。また,各PCからは,プロキシを経由しないとインターネットにはアクセスできないはずです。攻撃者はなぜ,インターネットから社内のPCを操作できるのですか。
X氏 :マルウェアPはブラウザのプロキシ設定を参照してプロキシ経由でC&Cサーバにアクセスしますが,PCからC&Cサーバヘの方向だけでHTTPリクエストが発生します。このとき,マルウェアPに対する指令が[ b ]に含まれているので,攻撃者はPCを操作できるというわけです。

設問2(4) 本文中の[ b ]に入れる適切な字句を,10字以内で答えよ。
設問解説であるが、bには「HTTPリクエスト」に対するサーバからの応答である「HTTPレスポンス」が入る。

通信先
以下の資料に、「標的型メール攻撃に使用された不正プログラム等による通信の接続先」が掲載されている。
これがC&Cサーバと同じと考えられる。
中身は以下の資料を確認してもらいたいが、1位が米国(25%)、2位が韓国(17%)、3位が香港(12%)となっている。
https://www.npa.go.jp/keibi/biki3/250822kouhou.pdf