본문 바로가기

정보통신일반

정보통신기사, 정보통신학과, 통신직 등 정보통신일반 요점 정리 157. 봇넷(Botnet) 대응 기술

728x90
반응형

157. 봇넷(Botnet) 대응 기술

 

가. 봇넷의 개념
봇넷이란 악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되
어 있는 형태를 말한다. 봇들은 [그림
9-9]와 같이 자유자재로 통제하는 권한을 갖는
봇마스터에 의해 원격 조종되며
C&C 서버(Command & Control, 봇 좀비들에게 명
령을 내리고 제어하기 위한 서버
)를 통하여 각종 악성행위를 수행할 수 있다. 봇넷은
EggDrop으로 처음 발견된 이후 Forbot, PBot, Toxbot, Machbot, PHP bot, Storm bot
등으로 진화 또는 변종 봇이 출현하고 있어 이에 대한 대응을 더욱 어렵게 하고 있다.

 

나. 봇넷의 진화 형태
봇은 웜/바이러스, 백도어, 스파이웨어, 루트킷 등 다양한 악성코드들의 특성을 복
합적으로 지니며, 봇넷을 통해
DDoS, Ad-ware, Spyware, 스팸발송, 정보불법 수집
등 다양한 사이버 공격을 시도한다. 또한 공격자에 의해 봇넷을 마음대로 제어가 가
능하며, 그 수법이 날로 지능화 되고 있다.
첫째, 중앙집중형 명령/제어 방식에서
P2P 방식을 사용하는 분산형 명령/제어 방
식으로 발전하고 있으며, 중앙집중형 방식에서 탐지 및 차단을 어렵게 하기 위해
IRC
방식에서 HTTP 방식으로 전환되고 있다. 또한 암호 통신, 포트 변경, 명령/제어 서
버의 주기적인 이주 등을 통해 봇의 탐지를 방해하는 추세이다.
둘째, 명령/제어를 위해
2가지 이상의 프로토콜을 사용하는 하이브리드 형태로 진
화되는 추세이다. 봇 클라이언트와
C&C 서버는 기본적으로 HTTP를 이용하여 통신하지만 만약, HTTP 채널을 생성하지 못할 경우 [그림 9-10]과 같이 TCP 또는 암호
화된
ICMP를 이용하여 봇들끼리 통신하는 형태로 진화하고 있다.

HTTP 채널을 생성하지 못할 경우 봇넷의 진화 형태


셋째, 다수의 중앙 집중 포인트(C&C서버)가 존재하는 하이브리드 형태로 진화되
고 있으며, 다수의
C&C서버는 P2P 프로토콜을 이용해 명령을 전달 받으나, 봇에 감
염된 좀비
PC는 초기 C&C접속 목록(Peer list)를 이용해 임의의 C&C로 접속하여 특
C&C가 탐지되더라도 [그림 9-11]과 같이 나머지 봇넷은 그대로 유지되는 형태로
진화하고 있다

탐지되더라도 그대로 유지되는 봇넷의 진화 형태

다. 봇넷 대응 기술
봇넷 대응 기술은 [그림 9-12]와 같이 적용 대상에 따라 PC상에서 악성 봇 프로그
램을 설치하고 행동을 기반으로 탐지하거나 분석하는 호스트 기반 기술과 봇 좀비 및
C&C로부터 네트워크 트래픽 기반으로 봇을 탐지하거나 분석하는 네트워크 기반 기
술로 구분할 수 있다.

적용대상에 따른 봇넷 대응 기술

적용대상에 따른 봇넷 대응 기술은 [그림 9-13]과 같이 기술 특성에 따라 시그니처
기반과 행위기반으로 각각 나뉜다. [표
9-2]는 호스트 기반의 봇넷 대응기술을 기술
특성에 따라 특징과 한계점을 나타낸 것이고 [표
9-3]은 네트워크 기반의 봇넷 대응
기술의 특징과 한계점을 나타낸 것이다.

기술특성에 따른 봇넷 대응 기술

 

호스트 기반 대응기술 특성

  시그니처 기반 행위기반
특징 악성코드에 대한 시그니처를 바탕으로 예방,
검색, 치료하는 종합 서비스를 제공함
가상머신을 이용하여 컴퓨터에서 파일을 실행
하여 행위를 분석하거나 취약점들을 에뮬레이
션한 후에 침투 악성코드를 분석함
한계점 •신종/변종 악성코드에 대한 탐지 어려움
•패킹, 압축, 암호화 등 다양한 회피 기술의
사용으로 인한 탐지 어려움
•커널레벨에서 구동되는 악성코드에 대한 탐
지/대응이 어려움
•오탐 및 미탐 발생
•VM, 샌드박스, 디버거 탐지 등 다양한 회
피기술의 사용
•커널레벨에서 구동되는 악성코드에 대한 탐
지/대응이 어려움

 

네트워크 기반 대응기술 특성

  시그니처 기반 행위 기반
특징 침입탐지시스템(IDS), 침입방지시스템
(IPS), 방화벽 등을 이용함
네트워크 트래픽을 분석하여 봇넷을 탐지하
고, 봇넷으로부터의 공격을 차단함
한계점 •알려진 시그니처 기반 공격 탐지/대응
•봇넷 전체구성, 봇 좀비 분포 및 과거 봇넷
의 변동사항 등 정보 파악 어려움
스텔스 스캔, 채널암호, 명령/제어패턴 변경
등 기법 적용으로 오탐/미탐 발생
•HTTP 및 분산형 P2P 봇넷에 대한 탐지/대응 어려움
(최근, HTTP 봇넷에 대한 일부 탐지/대응 기능이 탑재된 솔루션이 출시되었음)

 

728x90
반응형