명령 및 제어 공격이란 무엇인가요?
지난 10년간악성 네트워크 공격이 증가하고 있습니다. DNS를 통해 실행되는 가장 큰 피해를 주는 공격 중 하나는 C2 또는 C&C라고도 하는 명령 및 제어를 통해 이루어집니다. 명령 및 제어는 위협 행위자가 네트워크를 통해 손상된 디바이스와 통신하는 데 사용하는 기술로 정의됩니다.
C2는 일반적으로 하나 이상의 은밀한 채널을 포함하지만 공격에 따라 구체적인 메커니즘은 크게 달라질 수 있습니다. 공격자는 이러한 통신 채널을 사용하여 감염된 디바이스에 추가 멀웨어 다운로드, 봇넷 생성 또는 데이터 유출을 위한 지침을 전달합니다.
MITRE ATT&CK 프레임워크에따르면, 공격자들이 사용하는 명령 및 제어 전술에는 수많은 하위 기술을 포함하여 16가지 이상의 다양한 전술이 있습니다:
- 애플리케이션 계층 프로토콜
- 이동식 미디어를 통한 커뮤니케이션
- 데이터 인코딩
- 데이터 난독화
- 동적 해상도
- 암호화된 채널
- 폴백 채널
- 인그레스 도구 전송
- 다단계 채널
- 비 애플리케이션 계층 프로토콜
- 비표준 포트
- 프로토콜 터널링
- 프록시
- 원격 액세스 소프트웨어
- 교통 신호
- 웹 서비스
명령 및 제어 공격의 작동 방식
공격자는 먼저 차세대 방화벽뒤에 있는 대상 시스템을 감염시킬 발판을 마련합니다. 이 작업은 다양한 방법으로 수행할 수 있습니다:
- 피싱 이메일을 통해:
- 사용자를 속여 악성 웹사이트로 연결되는 링크(
또는 - 악성 코드를 실행하는 첨부파일을 여는 행위.
- 사용자를 속여 악성 웹사이트로 연결되는 링크(
- 브라우저 플러그인의 보안 허점을 통해.
- 다른 감염된 소프트웨어를 통해.
통신이 설정되면 감염된 컴퓨터는 공격자의 서버로 다음 명령을 찾는 신호를 보냅니다. 감염된 호스트는 공격자의 C2 서버에서 명령을 수행하며 추가 소프트웨어를 설치할 수 있습니다. 많은 공격자가 C2 트래픽을 HTTP/HTTPS 또는 DNS와 같은 다른 유형의 합법적인 트래픽과 혼합하려고 시도합니다. 목표는 탐지되지 않도록 하는 것입니다.
공격자는 이제 피해자의 컴퓨터를 완전히 제어할 수 있으며 모든 코드를 실행할 수 있습니다. 악성 코드는 일반적으로 더 많은 컴퓨터로 확산되어 감염된 디바이스들의 네트워크인 봇넷을 생성합니다. 이러한 방식으로 공격자는 회사 네트워크를 완전히 제어할 수 있습니다.
명령 및 제어는 킬 체인의 마지막 단계 중 하나입니다(록히드 마틴이 만든 용어). 위협 행위자가 목표를 완료하기 직전에 발생합니다. 이는 공격자가 이미 다른 보안 도구를 우회했음을 의미합니다. 따라서 보안 전문가가 C2를 신속하게 발견하고 예방하는 것이 중요합니다.
명령 및 제어 기술의 유형
C2C 공격이 사용하는 모델은 세 가지가 있습니다. 이러한 모델은 감염된 컴퓨터가 명령 및 제어 서버와 통신하는 방식을 지정합니다. 각각은 최대한 효과적으로 발각을 피할 수 있도록 설계되었습니다.
1. 중앙 집중식 아키텍처
이는 클라이언트-서버 트랜잭션 아키텍처와 마찬가지로 가장 일반적인 모델일 가능성이 높습니다. 새 컴퓨터가 봇에 감염되면 C&C 서버에 연결을 시작하여 봇넷에 합류하게 됩니다. 채널에 가입하면 봇은 C&C 서버에서 봇 마스터의 명령을 기다립니다. 공격자들은 종종 C2C 서버에 널리 사용되는 호스팅 서비스를 사용합니다.
이 모델은 명령이 하나의 소스에서 발생하기 때문에 쉽게 탐지하고 차단할 수 있습니다. 따라서 IP를 빠르게 감지하고 차단할 수 있습니다. 그러나 일부 사이버 범죄자들은 로드 밸런스, 리디렉터, 프록시를 설정에 사용하는 방식으로 접근 방식을 변경하기도 합니다. 이 경우 탐지가 더 어렵습니다.
2. P2P(피어 투 피어) 아키텍처
이 모델은 탈중앙화되어 있습니다. 봇넷 구성원은 중앙 서버에 의존하지 않고 노드 간에 명령을 전송합니다. 따라서 P2P 모델은 탐지하기가 훨씬 더 어렵습니다. 탐지되더라도 일반적으로 한 번에 한 노드만 다운시킬 수 있습니다.
피어 투 피어 모델은 하이브리드 구성을 위해 중앙 집중식 모델과 함께 자주 사용됩니다. P2P 아키텍처는 메인 서버가 손상되거나 다운되었을 때 폴백으로 작동합니다.
3. 랜덤 아키텍처
무작위 아키텍처 모델은 탐지하기 가장 어려운 모델입니다. 이는 의도된 것입니다. 보안 담당자가 C&C 서버를 추적하여 종료하거나 봇넷의 명령 체계를 파악하는 것을 방지하는 것이 목적입니다. 이 모델은 서로 다른 소스에서 감염된 호스트(또는 봇넷)로 통신을 전송하는 방식으로 작동합니다:
- IRC 채팅방
- CDN
- 소셜 미디어 댓글
- 이메일
사이버 범죄자들은 신뢰할 수 있고 일반적으로 사용되는 소스를 선택함으로써 성공 확률을 높입니다.
C&C 대상 디바이스
명령 및 제어 공격은 거의 모든 컴퓨팅 장치를 표적으로 삼을 수 있습니다.
- 스마트폰
- 태블릿
- 데스크톱
- 노트북
- IoT 디바이스
IoT 디바이스는 여러 가지 이유로 C&C 위험에 노출될 가능성이 높습니다:
- 사용자 인터페이스가 제한되어 있어 제어하기 어렵습니다.
- IoT 디바이스는 일반적으로 본질적으로 안전하지 않습니다.
- 스마트 오브젝트에 패치가 적용되는 경우는 거의 없습니다.
- 사물 인터넷 디바이스는 인터넷을 통해 대량의 데이터를 공유합니다.
해커가 명령 및 제어를 통해 달성할 수 있는 것들
- 멀웨어 전달: 공격자는 피해자의 네트워크 내에서 손상된 컴퓨터를 제어하면 추가 멀웨어를 다운로드하도록 유도할 수 있습니다.
- 데이터 도난: 재무 문서와 같은 민감한 데이터는 공격자의 서버로 복사되거나 전송될 수 있습니다.
- 종료: 공격자는 하나 또는 여러 대의 컴퓨터를 종료하거나 심지어 회사의 네트워크를 다운시킬 수도 있습니다.
- 재부팅합니다: 감염된 컴퓨터는 갑자기 종료 및 재부팅을 반복하여 정상적인 비즈니스 운영에 지장을 줄 수 있습니다.
- 방어 회피: 공격자는 일반적으로 탐지를 피하기 위해 정상적이고 예상되는 트래픽을 모방하려고 시도합니다. 공격자는 피해자의 네트워크에 따라 보안 도구를 우회하기 위해 다양한 수준의 은닉을 통해 명령 및 제어를 설정합니다.
- 분산 서비스 거부: DDoS 공격은 서버나 네트워크에 인터넷 트래픽을 폭증시켜 서버나 네트워크를 압도합니다. 봇넷이 구축되면 공격자는 각 봇에 표적 IP 주소로 요청을 보내도록 지시할 수 있습니다. 이렇게 하면 대상 서버에 대한 요청이 폭주합니다.
그 결과 고속도로를 막는 트래픽과 마찬가지로 공격받은 IP 주소로 향하는 정상적인 트래픽의 액세스가 거부됩니다. 이러한 유형의 공격은 웹사이트를 다운시키는 데 사용될 수 있습니다. 실제 DDoS 공격에 대해 자세히 알아보세요.
오늘날의 공격자들은 악성 C2 코드를 사용자 정의하고 복제할 수 있어 탐지를 더 쉽게 회피할 수 있습니다. 이는 전통적으로 보안 레드 팀에서 사용하던 정교한 자동화 도구가 현재 사용 가능하기 때문입니다.
공격자가 DNS를 악용하는 것을 어떻게 막을 수 있나요? 백서를 읽고 취할 수 있는 조치에대해 알아보세요.
명령 및 제어 FAQ
공격자는 다음과 같은 다양한 방법을 사용하여 C2 채널을 설정합니다:
- 이메일 첨부 파일 또는 링크에 악성 코드 삽입.
- 소프트웨어 또는 하드웨어의 취약점을 악용하는 행위.
- 손상된 웹사이트를 사용하여 멀웨어를 전달합니다.
- 소셜 엔지니어링 기술을 사용하여 사용자를 속여 악성 페이로드를 실행하도록 유도합니다.
- HTTP/HTTPS, DNS, 소셜 미디어와 같은 합법적인 서비스 및 프로토콜을 활용하여 탐지를 회피합니다.
조직은 다음과 같은 강력한 보안 조치를 구현하여 C2 공격을 방어할 수 있습니다:
- 고급 위협 탐지 도구를 사용하여 의심스러운 활동을 식별하고 차단합니다.
- 네트워크 세분화를 사용하여 멀웨어의 확산을 제한합니다.
- 시스템을 정기적으로 업데이트하고 패치를 적용하여 취약점을 차단하세요.
- 네트워크 트래픽의 지속적인 모니터링 및 로깅을 수행합니다.
- 피싱 및 소셜 엔지니어링 공격에 대한 직원 교육.
- 위협 인텔리전스를 활용하여 새로운 C2 전술 및 인프라에 대한 최신 정보를 파악하세요.
