봇(Bot) 그리고 봇넷(Botnet)
봇이란?
보안상 결함을 이용해 원격에서 해당 시스템을 제어할 수 있는 프로그램
이러한 디바이스를좀비 PC/디바이스라고 부름
-
웜/바이러스, 백도어, 스파이웨어, 루트킷 등 다양한 악성코드들의 특성을 복합적으로 가지고있음
-
공격자의 명령에 따라 활동
- 정보 유출, 스팸 메일 발송, 디도스(DDoS) 공격, 트래픽 스니킹, 키 로깅 등의 다양한 공격 수행
봇넷이란?
악성 소프트웨어인 봇에 감염된 다수의 좀비 PC/디바이스로 구성된 네트워크
- C&C서버와 직접 통신하거나 좀비들 간에 서로 통신을 수행하면서 공격자의 명령을 수행
-
명령/제어를 위해 사용하는 프로토콜에 따른 분류
: IRC 봇넷, HTTP 봇넷 P2P 봇넷 -
네트워크 구성에 따른 분류
: 중앙 집중형 방식(IRC, HTTP)과 분산형 방식(P2P)으로 분류
봇넷 명령 제어 방식
- IRC(Internet Relay Chat)란
인터넷상에서 채팅할 수 있도록 고안된 프로토콜, IRC 서버 간에 직,간접적으로 연결되어 세계 어느 곳이든 한 서버에 연결하면 자동으로 전 세계의 모든 서버와 연결되는 구조
1. 중앙 집중형 명령/제어 방식 (Command/Control)
- 탐지 및 대응을 보다 어렵게 하기 위해 인터넷상에서 많이 사용되는 HTTP를 기반으로 진화
- 다수의 도메인을 확보하여 중앙 집중형 명령/제어를 하기 위한 C&C 서버로 등록하고 다수의 좀비가 C&C 서버와 연결되어 명령을 수행
- 구조가 비교적 간단하지만, C&C 서버가 탐지 및 차단되면 전체 봇넷이 중단될 가능성이 있음
- 대표 유형 : IRC봇넷, HTTP봇넷
2. 분산형 명령/제어 방식
- 참여 좀비/봇들이 모두 C&C 역할을 하여 그룹에 명령을 전파하는 분산 제어 방식 (별도의 도메인 및 C&C 불필요)
- 주로 봇넷을 보호하고 네트워크가 끊어지는 것을 방지하기 위한 방식
- 탐지 및 차단이 어려움
- 대표 유형 : P2P 봇넷
봇넷의 보안장비 우회 기법
공격자들은 봇넷 참여 멤버들의 C&C 서버 접속 과정에서 보안장비에 의해 탐지되지 않도록 하기 위한 다양한 보안장비 우회 기법들을 적용하고 있음
- C&C 서버 도메인이나 IP 주소등이 알려지면 블랙리트스로 등록되어 탐지 및 차단되기 때문
대표적인 기법
- Fast Flux
- DGA
- Domain Shadowing
Fast Flux
하나의 C&C 서버 도메인에 다수의 IP주소를 할당하여 DNS질의 시마다 지속적으로 IP주소가 변경되도록 함
미리 확보해 둔 다수의 C&C 서버 IP 주소들을 DNS 레코드에 추가하고 TTL 값을 매우 적게 주어 빠르게 라운드 로빈 방식으로 응답되도록 함
- DNS 질의 자체를 탐지할 수 있는 7계층 보안장비가 없다면 Fast Flux IP 일부만 차단해서는 C&C 서버로의 접속을 완전히 차단할 수 없음
DGA (Domain Generation Algorithm)
알고리즘에 따라 C&C 서버 도메인을 지속적으로 동적으로 생성하여 도메인 기반 탐지 및 차단을 우회함
알고리즘에 따라 다수의 도메인을 생성하기 때문에 만약 등록한 도메인이 블랙리스트로 차단된다면 다른 도메인명을 재등록함
- 다수의 임시 C&C 서버 도메인이 동적으로 생성되기 때문에 보안장비 입장에서는 이를 모두 탐지하고 차단하기 매우 어려움
Domain Shadowing
알려진 합법적인 도메인의 서브 도메인을 C&C 서버 도메인으로 사용하여 도메인 기반 탐지 및 차단을 우회함
적법한 절차로 도메인을 소유하고 있는 도메인 관리자의 개인정보 등을 탈취하여 도메인 소유자 몰래 많은 서브 도메인을 등록시켜 놓고 사용하는 기법
- 주로 드라이브 바이 드라이브(DBD) 공격에서 악성코드 유포지로 흘러가는 길목에 사용되는 경유지 도메인을 서브 도메인으로 사용함
