C&C(Command and Control)サーバとは、インターネットからPCのマルウェアに対してCommandを送って、遠隔でControlするサーバである。
情報処理技術者試験では、「指令サーバ」と表現されることがある。
過去問(H28秋SG午前問12)では、「ボットネットにおけるc&cサーバの役割」として、「侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。」とあります。
C&Cサーバ_情報セキュリティスペシャリスト試験
PCに感染したマルウェアへの通信プロトコルは、httpやhttpsが利用されることが多い。
情報セキュリティスペシャリスト試験を目指す女性SE 

へーそうなんですね。
以前のボットネット通信では、IRCが多かった気がします。
感覚論でしかないが、今は3分の2くらいhttp(https)のようだ。その理由について過去問(H26春FE午前問44)では、次のように述べられている。
「Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い」

マルウェアがC&Cサーバと通信する動作の一例については、過去問(H25SC秋午後Ⅱ問1)に、「図2 マルウェアPの特徴」として掲載されている。
・C&C (Command & Control)サーバとの通信にはHTTPを用いる。
・C&Cサーバとの通信をRC4で暗号化する。
・ブラウザのプロキシ設定を参照する。
・C&Cサーバからファイルをダウンロードして実行できる。
・C&Cサーバから指令を受けて,任意のシェルコマンドを実行できる。
・キーロギングし,その結果をC&Cサーバにアップロードできる。
・PC上の任意のファイルをC&Cサーバにアップロードできる。
・細工されたWebサイトやPDFファイルの閲覧時に,JREやPDF閲覧ソフトに敖弱性があると感染する。

この問題の続きを見てみよう。
攻撃者は、どうやってFWの向こう側からPCを遠隔操作するのかが記載されている。
X氏 :攻撃者は,マルウェアPを使って社内のPCを操作していたようです。
O部長:本社の環境では,インターネットからの通信はFWで制限しています。また,各PCからは,プロキシを経由しないとインターネットにはアクセスできないはずです。攻撃者はなぜ,インターネットから社内のPCを操作できるのですか。
X氏 :マルウェアPはブラウザのプロキシ設定を参照してプロキシ経由でC&Cサーバにアクセスしますが,PCからC&Cサーバヘの方向だけでHTTPリクエストが発生します。このとき,マルウェアPに対する指令が[ b ]に含まれているので,攻撃者はPCを操作できるというわけです。

設問2(4) 本文中の[ b ]に入れる適切な字句を,10字以内で答えよ。
設問解説であるが、bには「HTTPリクエスト」に対するサーバからの応答である「HTTPレスポンス」が入る。

別の過去問(R1SC秋午後1問2)には、以下の記載があります。
(い)マルウェアは,侵入後,窃取する重要情報を探すため、内部ネットワークの探索を行う。窃取する情報を持ち出す際には,まず,窃取する情報を暗号化し,一定のサイズに分割する。その後,C&C(Command and Control)通信を使用して持ち出す。
(う) C&C 通信には,HTTP又はDNSプロトコルを使用する。HTTPの場合,Webブラウザに設定されたプロキシサーバのIPアドレスを確認し,プロキシサーバ経由でC&Cサーバと通信する。DNSプロトコルの場合,パブリックDNSサービスLを経由して通信する。攻撃対象となる組織が管理するDNSサーバを経由してC&C サーバと通信する事例は報告されていない。

注記 パブリック DNS サービスとは,インターネット上に公開され誰でも自由に利用可能なフルサービスリゾルバ型の DNSサービスのことである。
すごく手の込んだ攻撃をしますね。
ここにあるように、C&Cサーバへの通信は、HTTP以外にDNSが使われることもあります。

通信先
以下の資料に、「標的型メール攻撃に使用された不正プログラム等による通信の接続先」が掲載されている。
これがC&Cサーバと同じと考えられる。
中身は以下の資料を確認してもらいたいが、1位が米国(25%)、2位が韓国(17%)、3位が香港(12%)となっている。
https://www.npa.go.jp/keibi/biki3/250822kouhou.pdf

C&Cサーバって具体的にどんなの?
具体例をみると、イメージがしやすいと思います。ドメインレベルで不正サイトもあれば、フルパスのURLが怪しい場合もあります。

以下、Fortinet社の記事です。
ここでは、Emotetに感染したあとの動作として、外部のサーバに不正通信をして、ファイルを取得することが記載されています。
https://www.fortinet.co.jp/blog/threat-research/emotet-playbook-banking-trojan.html
たとえば、ここに記載されている以下のアドレスなどを、VirusTotal(https://www.virustotal.com)で確認してみましょう。(実際に通信をするのは危険です。)多くのAVメーカがMaliciousと表現していることでしょう。

hxxp://www[.]eteensblog[.]com/2tgmnk/fJZIPCYV/
hxxp://www[.]palisek[.]cz/wp-includes/YtgJbWQNtJ/
hxxp://www[.]mnminfrasolutions[.]com/wp-admin/zeteXeJYC/
hxxp://abbasargon[.]com/wp-admin/sqhztj4_dzq3e-019802155/
hxxps://weiqing7[.]com/ex6/3r2js_ocgr3bew87-538460/
hxxp://172.105.11.15:8080/img/window/
hxxp://91.121.116.137:443/child/
hxxp://80.79.23.144:443/site/between/add/merge