C&C(Command&Control; 커맨드 컨트롤) 공격이란? - 위드네트웍스

 

 

 현재의 사이버 위협 환경에서 사이버 범죄자들은 시스템에 대한 불법 접근 또는 악성 소프트웨어 설치 정도를 넘어서 시스템이나 네트워크에서 감지되지 않는 상태를 유지하면서 데이터를 제어하고 추출하고 있습니다.

 C&C 공격 또는 Command and Control 공격, 커맨드 컨트롤 공격으로도 알려진 공격은 피해 시스템과 C&C(Command and Control) 서버 간의 은밀한 연결을 설정합니다. 이러한 백도어 연결은 데이터 탈취, DDoS 공격, 암호화폐 채굴, 또는 위협 행위자에 의한 네트워크 침투와 같은 악성 활동을 가능하게 하여 전체 시스템을 취약하게 만듭니다.

 이에 많은 기관이 사이버 보안 시스템을 강화하고 있지만, HTTP, HTTPS, FTP 및 보안 쉘(SSH)에 대한 알려진 포트 사용은 필터링되지 않은 대량의 접근을 허용할 수 있습니다. 위협 행위자들은 이러한 포트를 통해 통신을 채널링하여 SSL 인증서와 같은 고급 수단을 사용하여 통신을 암호화하고 트래픽을 일반적인 웹 활동으로 위장합니다. 결과적으로, 위협 행위자들은 공유기, 스위치, IoT 장치, 노트북 및 스마트폰을 대상으로 네트워크에 침투할 수 있게 되는 거죠.

 

C&C (Command and Control) 공격 작동 방식

 

IMG Source: CyberHoot

 

 C&C 공격을 위해 공격자들은 먼저 대상 시스템 내에서 취약점을 찾기 위한 "정찰"을 수행합니다. 이후 적절한 취약점을 발견한 후, 기존의 취약점을 통한 악성 소프트웨어 설치 또는 USB 침투, 피싱 이메일, 악성 브라우저 확장 프로그램 및 악성 코드 주입과 같은 다양한 공격 방법들을 사용합니다.

 이러한 방법들로 인해 대상 기계가 감염되면 C&C 서버와의 연결이 이루어지며 추가 명령을 받기 위한 콜백이 시작됩니다. 이를 일반적으로 "비커닝(Beaconing)"이라고 합니다.

 

 그런 다음, 감염된 호스트는 C&C 서버가 지시한 명령을 실행하여 사이버 범죄자가 원격 액세스 도구(RATs)를 사용하여 접근 권한을 획득할 수 있도록 합니다. 이러한 접근을 통해 그들은 명령을 실행하고 민감한 데이터를 은밀하게 추출할 수 있습니다. 그리고 이때, 사용자의 동의나 인지 없이 원격으로 조작되는 장치를 "좀비(Zombie)"라고 합니다.

 

 이후 공격자들은 C&C 서버를 활용하여 감염된 호스트에 다른 호스트에서 취약점을 스캔하도록 지시하여 네트워크를 통해 측면으로 이동하는 것을 목표로 합니다. 이 과정은 흔히 "봇넷(Botnet)"이라고 알려진 피해 호스트의 네트워크가 형성되는 결과를 가져올 수 있으며, 이는 기관의 전체 IT 인프라에 상당한 위험을 초래할 수 있습니다.

 

 감지를 피하기 위해 C&C 트래픽은 종종 암호화 또는 인코딩을 통해 난독화됩니다. 공격자들은 도메인 호핑(hopping), 암호화 또는 합법적인 서비스를 통한 C2 트래픽의 터널링과 같은 우회 기법을 활용합니다. 동적 도메인 생성 알고리즘은 C&C 인프라를 예측하거나 차단하기 어렵게 만듭니다. 결과적으로 C&C 서버는 레지스트리 항목, 예약된 작업 또는 서비스 설치와 같은 메커니즘을 통해 감염된 장치에 대한 영속성을 확립합니다.

 

C&C (Command and Control) 공격의 유형

 공격자들은 대규모 공격을 위해 다양한 봇넷 구조를 활용하여 C&C (Command and Control) 공격을 수행합니다.

다양한 구조는 다음과 같습니다.

 

IMG Source: PCMag

 

중앙집중식 구조
 이는 전통적인 클라이언트-서버 구조와 유사합니다. 감염된 컴퓨터들은 C&C 서버에 연결하여 봇넷에 가입합니다. 명령은 단일 IP 출처에서 수신되어 감지 및 차단이 비교적 간단합니다. 그러나 사이버 범죄자들은 감지를 회피하기 위해 로드 밸런서, 프록시 및 리디렉션을 사용하여 탐지를 피하며, C&C 서버를 주류 사이트나 클라우드 서비스에 호스팅합니다. 또한 악성 코드는 종종 여러 C&C 사이트와 추가적인 계층을 포함하여 탐지를 우회합니다.

P2P (Peer-to-Peer) 구조
 P2P 구조는 중앙 서버 없이 작동하여 감지가 보다 어렵습니다. 명령은 봇넷 구성원 간에 중계되어 탐지를 피합니다. 이러한 분산 모델은 독립적으로 작동하며 노드가 명령을 전송하므로 방해하기 어렵습니다. 따라서 악의적인 행위자들은 종종 주요 서버가 위협을 받을 경우를 대비하여 중앙 집중식 C&C 서버와 함께 P2P 설정을 사용합니다.

랜덤 구조
 랜덤 C&C 구조는 탐지 및 예방이 가장 까다롭습니다. 명령은 콘텐츠 전달 네트워크(CDNs), 이메일, 소셜 미디어 콘텐츠(이미지, 댓글) 및 IRC 채팅방과 같은 다양하고 예측할 수 없는 출처에서 발신됩니다. 공격자들은 탐지를 회피하기 위해 신뢰할 수 있고 널리 사용되는 플랫폼을 활용합니다. 이로 인해 위험이 증대되어 차단이나 의심이 어려워집니다.

 

 

C&C (Command and Control) 공격 대응 방안

 C&C 공격에 대응하기 위한 방안은 다음과 같습니다.

 

IMG Source: G2

네트워크 트래픽 분석
 고급 네트워크 모니터링 도구와 트래픽 분석 기술을 활용하여 네트워크 트래픽의 비정상적인 패턴 및 이탈을 세밀하게 분석하고 식별합니다. 기계 학습 알고리즘과 행동 분석을 활용하여 이러한 솔루션은 잠재적인 C&C 통신을 효과적으로 파악할 수 있습니다.

DNS 쿼리 모니터링 및 분석
 C&C  채널은 종종 일반적인 DNS 트래픽 내에 숨겨져 있으므로 DNS 요청을 검토합니다. DNS 터널링을 통한 악성 암호화와 같은 비정상적인 DNS 동작을 감지하여 잠재적인 위협을 식별합니다. 비정상적인 활동, 특히 비표준 포트에서의 자동화된 비커닝을 차단하는 자동화된 보안 솔루션을 사용하세요.

탐지 도구 활용
 침입 탐지 및 방지 시스템(Intrusion Detection and Prevention Systems; IDPS)은 설정된 규칙과 알고리즘을 사용하여 C&C 트래픽을 식별하고 차단합니다. Endpoint Detection and Response(EDR)는 엔드포인트 동작을 파악하고 C&C 활동과 관련된 악성 프로세스를 식별합니다. 이러한 도구들은 기업 전반에 걸쳐 사용되어야 합니다.

사용자 교육 및 인식 프로그램
 직원들에게 보안 조치에 대해 교육함으로써 다양한 악성 활동에 대한 지식을 향상시킬 수 있습니다. 교육은 안전한 습관을 유도하여 일상적인 온라인 위협, 특히 피싱 시도의 위험을 줄입니다. 직원들에게 이메일 첨부 파일을 열지 않고 이메일 링크를 클릭하지 말라고 조언하세요.

 

결론

 C&C 공격은 사이버 보안의 변화하는 풍경에서 지속적인 위협을 나타냅니다. 이는 위협 행위자들이 천천히 기기나 시스템을 통제할 수 있게 합니다. 기관들은 위협 행위자들이 이러한 공격을 조직하는 데 사용하는 은밀한 전술을 효과적으로 대응하기 위해 다각적인 방어 전략을 사용해야 합니다.

 

---

 

Total ICT・지능형 보안 서비스 전문 플랫폼 혁신기업, 위드네트웍스 

위드네트웍스는 지난 10여년 간 매지니드 보안 시장의 선도 주자로서 축적된 노하우와 인프라를 기반으로 Global New Technology 기반의보안 솔루션을 개발할 뿐 아니라 클라우드, 5G, 와이파이 등 디지털 트랜스포메이션의 기반이 되는 인프라를 구축하여 4차 산업 혁명을 선도하고 있습니다.

 

또한 다양한 보안 전문 기술/컨설팅 노하우 및 지능형 보안 플랫폼을 통하여 고객사 환경에 최적화된 정보 보안 및 IT 인프라를 구축하고 있습니다. 특히 여러분 기업에 최적화된 지능형 아이덴티티 보안 체계를 하고자 하시거나 이에 대한  문의 사항이 있으시다면 아래의 제품 문의를 통해 자유롭게 문의 주시기 바랍니다!

​

감사합니다, 위드네트웍스는 여러분의 비즈니스를 응원합니다!

 

 

 

<참고: " What Are Command and Control Attacks? ", Dilki Rathnayake, 2024.03>