C&C는 멀웨어나 봇넷이 작동하는 핵심 컨트롤 센터로, 공격자가 감염된 디바이스를 원격으로 조작하기 위한 지휘 본부라고 보시면 됩니다.
🧠 C&C 서버란?
C&C 서버는 감염된 시스템(좀비, 봇)에게 명령을 전달하고, 수집된 데이터를 회수하는 원격 제어 서버입니다.
즉, 공격자가 멀웨어를 통해 만든 좀비 컴퓨터들에 대해 명령, 제어, 데이터 수집, 업그레이드 등을 수행하는 핵심 인프라입니다.
🔁 기본 구조 (흐름도)
[공격자 (Attacker)]
⬇ 명령 전달
[C&C 서버 (Command & Control)]
⬇
[감염된 클라이언트들 (Bot/Agent/Drone)]
🔧 C&C 서버 기능
| 기능 | 설명 |
|---|
| 📥 명령 전송 | DDoS 시작, 스팸 발송, 파일 다운로드, 정보 탈취 등 |
| 📤 데이터 수집 | 사용자 계정, 키로깅 정보, 금융 정보 등 탈취 |
| 🔄 멀웨어 업데이트 | 새로운 악성코드 설치 유도 |
| 🔧 시스템 조작 | 파일 삭제, 시스템 종료, 원격 쉘 실행 등 |
| 🧩 모듈 삽입 | 필요 시 기능 추가 (예: 암호화폐 채굴기) |
📡 C&C 서버 통신 방식
| 유형 | 설명 | 장점 |
|---|
| HTTP/HTTPS | 일반 웹 요청처럼 위장 | 탐지 어렵고 방화벽 우회 쉬움 |
| IRC (Internet Relay Chat) | 초기 봇넷 통신에 많이 사용됨 | 간단하고 실시간 명령 가능 |
| P2P (Peer-to-Peer) | 중앙 서버 없이 봇끼리 명령 전달 | C&C 서버 추적 어려움 |
| DNS Tunneling | DNS 요청으로 명령 전달 | 흔하지 않은 패턴으로 탐지 어렵게 함 |
| Tor Hidden Service | .onion 주소를 이용한 익명화 | 위치 추적 불가능, 법적 대응 어려움 |
| Social Media 기반 | 트위터, 텔레그램 등으로 명령 전달 | 정적 도메인 없이 지속성 유지 가능 |
💥 C&C 통신 예시 (HTTP 기반)
클라이언트 → C&C: GET /getCommand?id=1234
C&C → 클라이언트: {"cmd": "ddos", "target": "victim.com", "duration": 600}
클라이언트: 명령 수행 후 결과 전송
🕵️♀️ 보안 관점에서 본 C&C 서버
| 구분 | 설명 |
|---|
| 탐지 어려움 | 암호화(TLS) + 정상 트래픽처럼 위장 |
| 도메인 우회 | DGA, Fast Flux, P2P 등으로 IP 추적 회피 |
| 다단계 명령 | 중간 리디렉션 서버(proxy), 다중 레이어 구성 |
| 백도어용 활용 | 공격자가 침투한 후 장기적으로 통제 가능하게 함 |
📍 실제 예시
| 악성코드 | C&C 특징 |
|---|
| Zeus | HTTP 기반, 계좌정보 수집 후 C&C 전송 |
| Mirai | TCP/UDP 포트를 통한 간단한 명령 체계 |
| Agent Tesla | SMTP, FTP, HTTP로 정보 전송 |
| Emotet | 다단계 C&C 구조 + DGA로 도메인 우회 |
| DarkComet RAT | GUI 기반 원격 제어, 명령 다운로드 지원 |
🛡️ C&C 탐지 및 대응 전략
| 대응 방법 | 설명 |
|---|
| 🔍 이상 DNS/도메인 모니터링 | DGA, Fast Flux, Unknown TLD 등 |
| 🔒 Egress 제어 | 내부에서 외부로 나가는 이상 트래픽 차단 |
| 📊 행위 기반 탐지 (EDR/XDR) | C&C 통신 시도와 이상한 응답 분석 |
| ⛔ IP/도메인 블랙리스트화 | 보안 위협 인텔리전스를 통한 사전 차단 |
| 🧬 샌드박스 분석 | 악성코드 실행 시 어떤 주소에 접속하는지 분석 |
| 💣 Sinkhole 운영 | C&C로 위장한 허위 주소에 유도해 행동 분석/차단 |
📌 정리
| 항목 | 설명 |
|---|
| 핵심 개념 | 악성코드의 원격 지휘/제어 서버 |
| 주요 기능 | 명령 전송, 데이터 탈취, 업데이트 |
| 통신 방식 | HTTP, IRC, DNS, P2P, Tor 등 |
| 대응법 | 행위 탐지, 트래픽 분석, 인텔리전스 기반 차단 |
