C&C 서버(Command & Control)

C&C는 멀웨어나 봇넷이 작동하는 핵심 컨트롤 센터로, 공격자가 감염된 디바이스를 원격으로 조작하기 위한 지휘 본부라고 보시면 됩니다.

🧠 C&C 서버란?

C&C 서버는 감염된 시스템(좀비, 봇)에게 명령을 전달하고, 수집된 데이터를 회수하는 원격 제어 서버입니다.

즉, 공격자가 멀웨어를 통해 만든 좀비 컴퓨터들에 대해 명령, 제어, 데이터 수집, 업그레이드 등을 수행하는 핵심 인프라입니다.

🔁 기본 구조 (흐름도)

[공격자 (Attacker)]
        ⬇ 명령 전달
[C&C 서버 (Command & Control)]
        ⬇
[감염된 클라이언트들 (Bot/Agent/Drone)]

🔧 C&C 서버 기능

기능	설명
📥 명령 전송	DDoS 시작, 스팸 발송, 파일 다운로드, 정보 탈취 등
📤 데이터 수집	사용자 계정, 키로깅 정보, 금융 정보 등 탈취
🔄 멀웨어 업데이트	새로운 악성코드 설치 유도
🔧 시스템 조작	파일 삭제, 시스템 종료, 원격 쉘 실행 등
🧩 모듈 삽입	필요 시 기능 추가 (예: 암호화폐 채굴기)

📡 C&C 서버 통신 방식

유형	설명	장점
HTTP/HTTPS	일반 웹 요청처럼 위장	탐지 어렵고 방화벽 우회 쉬움
IRC (Internet Relay Chat)	초기 봇넷 통신에 많이 사용됨	간단하고 실시간 명령 가능
P2P (Peer-to-Peer)	중앙 서버 없이 봇끼리 명령 전달	C&C 서버 추적 어려움
DNS Tunneling	DNS 요청으로 명령 전달	흔하지 않은 패턴으로 탐지 어렵게 함
Tor Hidden Service	.onion 주소를 이용한 익명화	위치 추적 불가능, 법적 대응 어려움
Social Media 기반	트위터, 텔레그램 등으로 명령 전달	정적 도메인 없이 지속성 유지 가능

💥 C&C 통신 예시 (HTTP 기반)

클라이언트 → C&C: GET /getCommand?id=1234
C&C → 클라이언트: {"cmd": "ddos", "target": "victim.com", "duration": 600}

클라이언트: 명령 수행 후 결과 전송

🕵️‍♀️ 보안 관점에서 본 C&C 서버

구분	설명
탐지 어려움	암호화(TLS) + 정상 트래픽처럼 위장
도메인 우회	DGA, Fast Flux, P2P 등으로 IP 추적 회피
다단계 명령	중간 리디렉션 서버(proxy), 다중 레이어 구성
백도어용 활용	공격자가 침투한 후 장기적으로 통제 가능하게 함

📍 실제 예시

악성코드	C&C 특징
Zeus	HTTP 기반, 계좌정보 수집 후 C&C 전송
Mirai	TCP/UDP 포트를 통한 간단한 명령 체계
Agent Tesla	SMTP, FTP, HTTP로 정보 전송
Emotet	다단계 C&C 구조 + DGA로 도메인 우회
DarkComet RAT	GUI 기반 원격 제어, 명령 다운로드 지원

🛡️ C&C 탐지 및 대응 전략

대응 방법	설명
🔍 이상 DNS/도메인 모니터링	DGA, Fast Flux, Unknown TLD 등
🔒 Egress 제어	내부에서 외부로 나가는 이상 트래픽 차단
📊 행위 기반 탐지 (EDR/XDR)	C&C 통신 시도와 이상한 응답 분석
⛔ IP/도메인 블랙리스트화	보안 위협 인텔리전스를 통한 사전 차단
🧬 샌드박스 분석	악성코드 실행 시 어떤 주소에 접속하는지 분석
💣 Sinkhole 운영	C&C로 위장한 허위 주소에 유도해 행동 분석/차단

📌 정리

항목	설명
핵심 개념	악성코드의 원격 지휘/제어 서버
주요 기능	명령 전송, 데이터 탈취, 업데이트
통신 방식	HTTP, IRC, DNS, P2P, Tor 등
대응법	행위 탐지, 트래픽 분석, 인텔리전스 기반 차단