"봇넷"의 두 판 사이의 차이

2019년 9월 17일 (화) 10:40 판

봇넷(botnet)이란, 로봇(Robot)과 네트워크(Network)를 합성한 단어로, 악성 소프트웨어인 봇(bot)에 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 말한다.

개요

악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷이라 하며, 이것을 자유자재로 통제하는 권한을 가진 봇마스터에 의해 원격 조종된다. 봇넷은 1993년 에그드롭(EggDrop)으로 처음 나온 이후 Forbot, PBot, Storm Bot 등 진화한 봇들이 출현했으며, 주로 DDoS 공격이나 개인정보 수집, 스팸메일 전송, 피싱과 같은 사이버 공격 행위에 이용되고 있다. ^[1]

역사

1988년 : 로버트 모리스 주니어가 최초로 웜 개발에 성공했다. 웜은 자가복제 가능하며, 감염된 PC와 연결된 네트워크를 통해 전파된다.
1999년 : IRC 통신을 통해 감염된 PC로 명령 받는 최초의 악성코드인 Sub7과 Preetty Park이 개발됐다.
2004년 : 팻봇(Phatbot, Agobot)은 Agobot의 변종으로써, IRC 대신 P2P를 사용한 최초의 봇넷이다.
2006년 : 제우스(Zeus, Zbot)악성코드가 처음 출현했다. 공격자들은 이를 악용해 금융정보를 탈취하고, 감염된 PC들을 좀비 PC로 만들었다.
2008년 : 그럼 봇넷(Grum)은 매일 399억통의 스팸메일을 발송했으며, 같은 해 스톰 봇넷(Storm)이 출현했다.
2010년 : Zeus의 코드가 악성코드로 포함되어 범죄 조직원들에게 판매되었으며, Waledac 봇넷은 MS의 적극적인 대응으로 사라졌다.
2011년 : 게임오버 제우스 봇넷이 P2P 프로토콜과 C&C 서버를 사용하여 통신하기 시작했다. 또한, 2011년 3월 Tustock 봇넷이 소멸한 후, 스팸메일의 수량이 30% 감소했다.
2012년 : 러시아, 우크라이나, 파나마 및 네덜란드의 공조 결과로 그럼(Grum) 봇넷이 사라졌다.
2013년 : 최초 안드로이드 봇넷인 MisoSMS가 발견되었다. 또한, FBI와 민간 기업의 협력으로 많은 Citadel 봇넷이 사라졌다.
2014년 : 미국의 사법부와 다양한 국가의 사법기관이 게임오버 제우스 봇넷에 대응하기 위해 공조한 사실이 밝혀졌다.
2016년 : 최초로 사물인터넷을 이용한 봇넷이 등장했다. ^[2]

P2P봇넷.png

프로토콜

중앙 집중형 구조

봇마스터는 봇넷 디바이스들에게 명령을 내리기 위해 C&C 서버를 운영하고 있으며, 제3자에게 들키지 않도록 특정 프로토콜을 사용한다. C&C서버와 통신하는 봇넷 프로토콜은 4가지 방식이 있다. ^[3]

IRC

IRC 기반 봇넷은 다른 방식에 비해 보안성은 상대적으로 떨어지지만, 가장 보편적으로 사용되고 있는 방식이다. IRC를 통해 비밀 채널을 생성하여 사용한다. 디도스 공격용 봇넷인 경우, IRC 채널 방식을 선호한다.

HTTP

HTTP 기반 봇넷은 정상적인 HTTP 웹 트래픽 속에 섞여 발각되지 않도록 하는 방식이다. HTTP 통신인 경우, 도메인 생성 알고리즘(DGA; Domain Generation Algorithm)을 사용하여, 도메인 주소로 C&C 서버가 노출되는 것을 방지한다. 또한, IP 주소가 노출되지 않도록 도메인 주소에 다수의 IP 주소를 시간 간격을 두고 매핑시켜 놓는 패스트 플럭스 DNS(Fast flux DNS 기법)를 사용한다.

분산형 구조

P2P

P2P 기반 봇넷은 각 노드가 C&C 서버 기능을 수행한다. 각 노드는 연결되는 상대 피어들에 대한 IP주소를 가지고 있어야 한다. 새로 감염되는 디바이스가 연결해야 하는 IP주소를 얻기 위해서는 악성코드 실행 시, 특정 서버에 접속하여 IP주소를 가져와야 한다.

Tor

토르(Tor) 네트워크에서 제공하는 서비스를 이용하여 C&C 서버를 운영한다. C&C 서버의 IP 주소가 노출되지 않도록 하기 위함이며, 제우스 트로잔 봇넷(Zeus Trojan Botnet)이 토르 방식을 사용한다. ^[4]

구성

봇넷은 악성코드에 감염된 디바이스와 인터넷을 통해 상호 연결된 네트워크로 구성되어 있다. 일반적으로 범죄행위에 사용되며 최대 백만대의 좀비 디바이스를 포함할 수 있으며, 매일 최대 600억개의 스팸메일을 발송할 수 있다.

봇넷 컨트롤러

봇넷을 컨트롤하는 공격자는 원격에서 C&C서버 혹은 특정한 좀비 디바이스에 명령을 전달한다.

C&C 서버

공격자의 명령과 컨트롤을 맡는 서버다. 좀비 디바이스에 명령을 전달하고, 좀비 디바이스로부터 정보를 수신하는 역할을 한다.

P2P 봇넷

P2P 봇넷은 분산식 좀비 디바이스 네트워크를 사용하며 주로 봇넷을 보호하고 네트워크가 끊기는 것을 방지하기 위해 사용한다. P2P 네트워크는 C&C 서버를 포함할 수도, 그렇지 않을 수도 있으며, 특정하거나 랜덤하게 설계할 수 있다.

좀비 디바이스

좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 말한다. 주로 PC에 해당되었으나, 최근에는 스마트폰, 태블릿, IoT 등으로 확대되고 있다.

주요 사건

미라이 봇넷

피봇 멀웨어

문제점 및 대안

각주

↑ DB 포탈사이트 , 〈악성코드를 이용한 봇넷 공격〉, 《한국데이터산업진흥원》 2018-08-14
↑ 알약 , 〈2016 봇넷 연구 보고서〉, 《EST security 알약 블로그》 2017-01-23
↑ 임선희, 조재익, 이병길 〈비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10
↑ AEP코리아네트 〈Botnet(봇넷)Attack(공격)〉, 《네이버 블로그》 2012-10

참고자료

DB 포탈사이트 , 〈악성코드를 이용한 봇넷 공격〉, 《한국데이터산업진흥원》 2018-08-14
알약 , 〈2016 봇넷 연구 보고서〉, 《EST security 알약 블로그》 2017-01-23
임선희, 조재익, 이병길 〈비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10
AEP코리아네트 〈Botnet(봇넷)Attack(공격)〉, 《네이버 블로그》 2012-10

같이 보기

이 봇넷 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] DB 포탈사이트 , 〈악성코드를 이용한 봇넷 공격〉, 《한국데이터산업진흥원》 2018-08-14

[2] 알약 , 〈2016 봇넷 연구 보고서〉, 《EST security 알약 블로그》 2017-01-23

[3] 임선희, 조재익, 이병길 〈비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출〉, 《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10

[4] AEP코리아네트 〈Botnet(봇넷)Attack(공격)〉, 《네이버 블로그》 2012-10

[1]

[2]

[3]

[4]

@@ 17번째 줄: / 17번째 줄: @@
 *2016년 : 최초로 [[사물인터넷]]을 이용한 봇넷이 등장했다. <ref> 알약 , 〈[https://blog.alyac.co.kr/939 2016 봇넷 연구 보고서]〉,  《EST security 알약 블로그》 2017-01-23</ref>
+P2P봇넷.png
 ==프로토콜==
+[[파일:IRC봇넷.png|썸네일|200픽셀|'''중앙 집중형 구조''']]
 봇마스터는 봇넷 디바이스들에게 명령을 내리기 위해 C&C 서버를 운영하고 있으며, 제3자에게 들키지 않도록 특정 프로토콜을 사용한다. C&C서버와 통신하는 봇넷 프로토콜은 4가지 방식이 있다. <ref> 임선희, 조재익, 이병길 〈[http://210.101.116.28/W_files/kiss9/52809214_pv.pdf 비정상도메인 분류를 위한 DNS 쿼리 기반의 주성분 분석을 이용한 성분추출]〉,  《정보처리학회 논문지/컴퓨터 및 통신 시스템 제1권 제1호》 2012-10 </ref>
@@ 25번째 줄: / 27번째 줄: @@
 ===HTTP===
 HTTP 기반 봇넷은 정상적인 HTTP 웹 트래픽 속에 섞여 발각되지 않도록 하는 방식이다. HTTP 통신인 경우, [[도메인 생성 알고리즘]](DGA; Domain Generation Algorithm)을 사용하여, 도메인 주소로 C&C 서버가 노출되는 것을 방지한다. 또한, IP 주소가 노출되지 않도록 도메인 주소에 다수의 IP 주소를 시간 간격을 두고 매핑시켜 놓는 [[패스트 플럭스 DNS]](Fast flux DNS 기법)를 사용한다.
+[[파일:P2P봇넷.png|썸네일|200픽셀|'''분산형 구조''']]
 ===P2P===

위키

이름공간

변수

보기

더 보기

검색