C&C 서버?

C&C(Command & Control) 서버란 일반적으로 감염된 좀비 PC가 해커가 원하는  공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버를 일컫습니다.

C&C서버를 통한 봇넷 이용.

주로 악의적인 명령을 봇넷이나 랜섬웨어와 같은 손상된 컴퓨터 네트워크에 원격으로 보내는 데 사용됩니다. C&C 서버의 연결을 중단하거나, 관련된 악성 도메인 접속을 차단한다면 동작을 막을 수 있습니다.

 

봇넷 C&C 서버는 장단점이 있는 네 가지 구조 중 하나로 보통 존재합니다: 스타, 멀티서버, 계층 그리고 랜덤.

 

 

Star topology

스타 토폴리지 봇넷은 하나의 중앙 C&C 서버에 의존하며, 이 서버는 모든 봇에 명령을 보냅니다.

이 구성은 신뢰할 수 있고 지연 시간이 적은 통신을 허용하지만 봇넷이 작동하지 않기 전에 오프라인 상태가 되는 C&C 서버가 하나뿐이므로 봇넷을 상당히 쉽게 해제할 수 있습니다.

 

 

Multi-server topology

멀티 서버 토폴로지 봇넷은 스타 토폴로지 봇넷과 매우 유사합니다.

단, 중앙 "서버"는 중복성을 허용하는 일련의 상호 연결된 서버로 구성됩니다. (스타 토폴리지 봇넷의 단일 지점 오류 문제 방지). 그러나 여러 개의 연결된 C&C 서버를 설정하려면 단일 서버를 사용하는 것보다 더 많은 계획과 전체 작업이 필요합니다.

 

 

Hierarchical  topology

계층 토폴로지 봇넷(계층 구조의 일련의 C&C 서버 포함)을 사용하면 봇넷 소유자가 봇넷을 다시 분리하거나 임대하기 위한 "별도의" 덩어리로 쉽게 분할할 수 있을 뿐 아니라 연구원이 다른 모든 C & C 위치를 열거하지 못하게 할 수 있습니다. 서버 및 봇 (bot)을 네트워크 내의 특정 C / C 서버 (C & C 서버)로 제한합니다. 
또한 봇에 도달하기 위해 C & C 서버의 큰 계층 구조를 거쳐야하는 명령은 대기 시간을 증가시킬 수 있습니다.

 

 

Random topology

랜덤 토폴로지 봇넷은 C&C 서버에 의존하지 않습니다. 

모든 봇넷 명령은 봇넷 소유자나 다른 권한이 부여 된 사용자로부터 시작되었다는 것을 나타내는 특별한 수단에 의해 "서명된"것으로 간주되는 경우 한 봇에서 다른 봇으로 직접 보내집니다. 이러한 봇넷은 매우 높은 대기 시간을 가지며, 종종 봇넷 내의 많은 봇들이 오직 하나의 봇을 포착 한 연구원에 의해 열거되도록 허용합니다. 많은 경우, 특히 해체하기 어려운 봇넷을 렌더링 하기 위해 보다 복잡한 C&C 서버 토폴로지(예: TDL-4 봇넷)와 함께 공용 피어투피어 네트워크에서 봇 통신을 봇으로 변환하는 특수 형태의 암호화된 봇이 사용된다.

 

 

 

 

---

출처:

https://www.linkedin.com/pulse/what-command-and-control-cc-servers-botnets-mohamed-abdelaziz https://www.researchgate.net/figure/Example-Multi-Server-Topology_fig1_221150949 https://ipfs.io/ipfs/QmXoypizjW3WknFiJnKLwHCnL72vedxjQkDDP1mXWo6uco/wiki/Command_and_control_(malware).html

https://www.estsecurity.com/securityCenter/commonSense/view/1323