애플리케이션 계층 프로토콜
적대자는 기존 트래픽에 섞여 탐지/네트워크 필터링을 피하기 위해 OSI 애플리케이션 계층 프로토콜을 사용하여 통신할 수 있습니다. 원격 시스템에 대한 명령과 종종 이러한 명령의 결과는 클라이언트와 서버 간의 프로토콜 트래픽에 포함됩니다. 적대자는 웹 브라우징, 파일 전송, 전자 메일, DNS 또는 게시/구독에 사용되는 프로토콜을 포함하여 다양한 프로토콜을 활용할 수 있습니다. 인클레이브 내부에서 발생하는 연결(예: 프록시 또는 피벗 노드와 다른 노드 간 연결)의 경우 일반적으로 사용되는 프로토콜은 SMB, SSH 또는 RDP입니다.
절차
클라이밍 - Clambling은 통신을 위해 Telnet을 사용할 수 있습니다.
두쿠 - Duqu는 일반적으로 사용되는 포트를 통해 통신하는 사용자 지정 명령 및 제어 프로토콜을 사용하며 애플리케이션 계층 프로토콜에 의해 자주 캡슐화됩니다.
힐데가르트 - Hildegard는 C2 통신을 위해 IRC 채널을 사용했습니다.
INC 랜섬 - INC Ransom은 RDP를 통해 유효한 계정을 사용하여 대상 시스템에 연결했습니다.
샛별 - Lucifer는 크립토재킹 봇과 채굴 서버 간 통신을 위해 포트 10001에서 Stratum 프로토콜을 사용할 수 있습니다.
매직 하운드 - Magic Hound 맬웨어는 C2에 IRC를 사용했습니다.
네티글 - 공격자는 NETEAGLE을 사용하여 TCP/7519를 통해 컨트롤러와 RDP 연결을 설정할 수도 있습니다.
나이트도어 - Nightdoor는 명령 및 제어 트래픽에 TCP 및 UDP 통신을 사용합니다.
조용한 퇴장 - QUIETEXIT는 C2의 일부로 역협상된 SSH 연결을 사용할 수 있습니다.
라즈베리 로빈 - Raspberry Robin은 2단계 페이로드를 전달하기 위해 TOR 네트워크에 연결할 수 있습니다.
로크 - Rocke는 감염된 시스템에서 C2로 wget 요청을 발행했습니다.
사일로스케이프 - Siloscape는 C2를 위한 IRC 서버에 연결합니다.
팀TNT - TeamTNT는 C2 통신을 위해 IRC 봇을 사용했습니다.
완화책
네트워크 트래픽 필터링
네트워크 어플라이언스를 사용하여 유입 또는 유출 트래픽을 필터링하고 프로토콜 기반 필터링을 수행합니다. 엔드포인트에서 소프트웨어를 구성하여 네트워크 트래픽을 필터링합니다.
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석하여 암호화된 트래픽에 대한 SSL/TLS 검사를 활용하고, 예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 경우. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링)를 감지합니다.
- 네트워크 트래픽 흐름
예상 프로토콜 표준 및 트래픽 흐름을 따르지 않는 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷 또는 무의미하거나 비정상적인 트래픽 패턴)을 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링)를 감지합니다.
이동식 미디어를 통한 통신
적대자는 이동식 미디어를 사용하여 시스템 간에 명령을 전송하여 연결이 끊어진 네트워크에서 손상된 호스트 간에 명령 및 제어를 수행할 수 있습니다. 두 시스템 모두 손상되어야 하며 인터넷 연결 시스템이 먼저 손상되고 두 번째로 이동식 미디어를 통한 복제를 통한 측면 이동을 통해 손상될 가능성이 있습니다 . 명령과 파일은 연결이 끊어진 시스템에서 적이 직접 액세스할 수 있는 인터넷 연결 시스템으로 전달됩니다.
절차
아파트28 - APT28은 감염된 USB를 통해 공기가 차단된 컴퓨터에서 정보를 캡처하고 USB가 삽입되면 네트워크에 연결된 컴퓨터로 전송하는 도구를 사용합니다.
젓가락 - APT28의 작업에는 CHOPSTICK 모듈을 사용하여 공기 간격이 있는 시스템에 자체를 복사하고 USB 스틱에 쓰여진 파일을 사용하여 데이터와 명령 트래픽을 전송하는 작업이 포함되었습니다.
USB스틸러 - USBStealer는 첫 번째 희생자에 삽입된 이동식 미디어 드라이브에 두 번째 희생자에 대한 명령을 삭제하고 드라이브가 두 번째 희생자에 삽입되면 명령이 실행됩니다.
완화책
기능 또는 프로그램 비화성화 또는 제거
불필요한 경우 자동 실행을 비활성화하세요.
운영 제체 구성
비즈니스 운영에 필요하지 않은 경우 조직 정책 수준에서 이동식 미디어를 허용하지 않거나 제한합니다.
발견
드라이브
- 드라이브 액세스
이동식 미디어에서 예상치 못한 파일 액세스를 모니터링합니다.
- 드라이브 창조
이동식 미디어가 마운트되면 새로 실행되는 프로세스를 모니터링합니다.
콘텐츠 주입
공격자는 온라인 네트워크 트래픽을 통해 시스템에 악성 콘텐츠를 주입하여 피해자에게 접근하고 지속적으로 통신할 수 있습니다. 피해자를 침해된 웹사이트에 호스팅된 악성 페이로드로 유인하는 대신(예: Drive-by Target 에 이은 Drive-by Compromise ), 공격자는 처음에 침해된 데이터 전송 채널을 통해 피해자에게 접근하여 트래픽을 조작하고/하거나 자체 콘텐츠를 주입할 수 있습니다. 이러한 침해된 온라인 네트워크 채널은 추가 페이로드(예: Ingress Tool Transfer ) 및 기타 데이터를 이미 침해된 시스템에 전달하는 데 사용될 수도 있습니다 .
적대자는 다음을 포함한 다양한 방법으로 피해자 시스템에 콘텐츠를 삽입할 수 있습니다.
- 중간에서, 적대자가 합법적인 온라인 클라이언트-서버 통신 사이에 있는 경우( 참고: 이것은 엔터프라이즈 환경 내에서만 AiTM 활동을 설명하는 Adversary-in-the-Middle 과 유사하지만 다릅니다)
- 합법적인 온라인 서버의 요청에 대한 가짜 응답으로 악성 콘텐츠가 주입되어 클라이언트로 달려가는 측면
콘텐츠 주입은 종종 손상된 상류 통신 채널의 결과이며, 예를 들어 "합법적 가로채기"의 경우와 같이 인터넷 서비스 제공자(ISP) 수준에서 발생합니다.
절차
디스코 - Disco는 악성 파일을 다운로드하도록 리디렉션하는 대상 호스트에 대한 DNS, HTTP 및 SMB 응답에 대한 콘텐츠 주입을 통해 초기 액세스 및 실행을 달성했습니다.
콧수염바운서 - MoustachedBouncer는 특정 대상 피해자를 가짜 Windows Update 페이지로 리디렉션하여 맬웨어를 다운로드하기 위해 DNS, HTTP 및 SMB 응답에 콘텐츠를 삽입했습니다.
완화책
민감한 정보 암호화
가능하다면 신뢰할 수 있는 VPN 등의 서비스를 통해 온라인 트래픽이 적절히 암호화되었는지 확인하세요.
웹 기반 콘텐츠 제한
적대적인 캠페인에 사용되는 것으로 알려진 흔하지 않은 파일 유형의 다운로드/전송 및 실행을 차단하는 것을 고려하세요.
발견
파일
- 파일 생성
온라인 네트워크 통신을 통해 삽입된 악성 콘텐츠의 징후일 수 있는 예상치 못한 비정상적인 파일 생성을 모니터링합니다.
네트워크 트래픽
- 네트워크 트래픽 콘테츠
시스템으로 전송된 추가 악성 콘텐츠를 나타낼 수 있는 다른 비정상적인 네트워크 트래픽을 모니터링합니다. 네트워크 침입 탐지 시스템을 사용하고, 때로는 SSL/TLS 검사를 사용하여 알려진 악성 페이로드, 콘텐츠 난독화 및 악용 코드를 찾습니다.
프로세스
- 프로세스 생성
브라우저 프로세스의 비정상적인 동작과 같이 성공적인 침해를 나타낼 수 있는 엔드포인트 시스템의 동작을 찾습니다. 여기에는 디스크에 기록된 의심스러운 파일, 실행을 숨기려는 시도에 대한 프로세스 주입 증거 또는 Discovery 증거가 포함될 수 있습니다.
데이터 인코딩
적대자는 명령 및 제어 트래픽의 내용을 감지하기 어렵게 만들기 위해 데이터를 인코딩할 수 있습니다. 명령 및 제어(C2) 정보는 표준 데이터 인코딩 시스템을 사용하여 인코딩할 수 있습니다. 데이터 인코딩을 사용하는 것은 기존 프로토콜 사양을 준수할 수 있으며 ASCII, Unicode, Base64, MIME 또는 기타 이진-텍스트 및 문자 인코딩 시스템을 사용하는 것을 포함합니다. 일부 데이터 인코딩 시스템은 gzip과 같은 데이터 압축을 초래할 수도 있습니다.
절차
BADNEWS - C2 데이터를 암호화한 후 이를 16진수 표현으로 변환한 후 base64로 인코딩합니다.
H1N1 - H1N1은 base64의 변경된 버전을 사용하여 C2 트래픽을 난독화합니다.
리눅스 래빗 - Linux Rabbit은 C2 서버에서 인코딩된 URL 매개변수로 페이로드를 전송합니다.
신화 - Mythic은 C2 데이터를 인코딩 및/또는 무작위화하기 위해 다양한 변환 함수를 제공합니다.
우르스니프 - Ursnif는 C2의 HTTP URL에 인코딩된 데이터를 사용했습니다.
완화책
네트워크 침입 방지
네트워크 시그니처를 사용하여 특정 적대적 맬웨어에 대한 트래픽을 식별하는 네트워크 침입 탐지 및 방지 시스템은 네트워크 수준에서 활동을 완화하는 데 사용할 수 있습니다. 시그니처는 종종 프로토콜 내의 고유한 지표를 위한 것이며 특정 적대자 또는 도구에서 사용하는 특정 난독화 기술을 기반으로 할 수 있으며 다양한 맬웨어 패밀리 및 버전에서 다를 가능성이 높습니다. 적대자는 시간이 지남에 따라 도구 C2 시그니처를 변경하거나 일반적인 방어 도구에 의한 탐지를 피하는 방식으로 프로토콜을 구성할 가능성이 높습니다.
발견
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
네트워크 데이터를 모니터링하여 일반적이지 않은 데이터 흐름(예: 클라이언트가 서버에서 수신하는 것보다 훨씬 많은 데이터를 전송하는 경우)을 확인합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다. 패킷 내용을 분석하여 사용 중인 포트에 대한 예상 프로토콜 동작을 따르지 않는 통신을 감지합니다.
데이터 난독화
적대자는 명령 및 제어 트래픽을 난독화하여 탐지하기 어렵게 만들 수 있습니다. 명령 및 제어(C2) 통신은 콘텐츠를 발견하거나 해독하기 어렵게 만들고 통신을 덜 눈에 띄게 만들고 명령이 보이지 않도록 숨기기 위해 숨겨집니다(하지만 반드시 암호화되는 것은 아님). 여기에는 프로토콜 트래픽에 정크 데이터를 추가하거나, 스테가노그래피를 사용하거나, 합법적인 프로토콜을 가장하는 것과 같은 많은 방법이 포함됩니다.
절차
DarkGate - 암호화폐 채굴과 같은 후속 작업을 위해 명령 및 제어 서버에서 암호화된 명령을 검색합니다.
FlawedAmmyy - 초기 C2 핸드셰이크의 일부를 흐리게 만들 수 있습니다.
FRAMESTING - POST 요청 내에서 zlib 압축 데이터를 송수신할 수 있습니다.
FunnyDream - 압축 및 난독화된 패킷을 C2로 보낼 수 있습니다.
Gamaredon 그룹 - 무작위로 생성된 변수 이름과 연결된 문자열을 포함하는 난독화된 VBScript를 사용했습니다.
닌자 - HTTP 요청에서 악성 트래픽을 숨기기 위해 헤더와 URL 경로를 수정할 수 있는 기능을 가지고 있습니다.
Okrum - HTTP 요청의 Cookie 및 Set-Cookie 헤더에 실제 메시지를 숨기는 동시에 C2 통신을 위해 HTTP 프로토콜을 활용합니다.
Operation Wocao - 위협 행위자는 RC4를 사용하여 "에이전트" 프록시 홉에 사용된 IP 주소를 암호화했습니다.
RDAT - 호스트에서 C2로 통신하기 위해 하위 도메인 내의 인코딩된 데이터를 AES 암호문으로 사용했습니다.
SideTwist - 가짜 Flickr 웹페이지의 소스 코드에 C2 응답을 내장할 수 있습니다.
SLOTHFULMEDIA - POST 요청을 통해 추출되기 전에 시스템 정보가 포함된 문자열을 해시했습니다.
TrailBlazer - C2 트래픽을 합법적인 Google 알림 HTTP 요청으로 위장할 수 있습니다.
완화책
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준에서 일부 난독화 활동을 완화할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
네트워크 데이터를 분석하여 일반적이지 않은 데이터 흐름(예: 클라이언트가 서버에서 수신하는 것보다 훨씬 많은 데이터를 전송하는 경우)을 파악합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다. 사용 중인 포트에 대한 예상 프로토콜 동작을 따르지 않는 통신을 감지하기 위해 패킷 내용을 분석합니다.
동적 해상도
적대자는 일반적인 탐지 및 수정을 피하기 위해 명령 및 제어 인프라에 동적으로 연결을 설정할 수 있습니다. 이는 적대자가 맬웨어의 통신을 수신하는 데 사용하는 인프라와 공통 알고리즘을 공유하는 맬웨어를 사용하여 달성할 수 있습니다. 이러한 계산은 맬웨어가 명령 및 제어에 사용하는 도메인 이름, IP 주소 또는 포트 번호와 같은 매개변수를 동적으로 조정하는 데 사용할 수 있습니다. 적대자는 Fallback Channels 의 목적으로 동적 해상도를 사용할 수 있습니다 . 기본 명령 및 제어 서버와의 연결이 끊어지면 맬웨어는 명령 및 제어를 재설정하는 수단으로 동적 해상도를 사용할 수 있습니다.
절차
APT29 - 맬웨어 C2 인프라에 동적 DNS 공급자를 사용했습니다.
AsyncRAT - 동적 DNS를 사용하도록 구성할 수 있습니다.
Bisonal - C2에 대해 동적 DNS 서비스를 사용했습니다.
BITTER - C2 통신을 위해 DDNS를 사용했습니다.
C0026 - 위협 행위자는 이전에 ANDROMEDA에서 사용되었던 ClouDNS 동적 DNS 하위 도메인을 다시 등록했습니다.
Gamaredon Group - 인프라에 동적 DNS 도메인을 통합했습니다.
Gelsemium - C2에서 동적 DNS 도메인 이름을 사용할 수 있습니다.
Maze - C2와 연결하는 동안 "forum", "php", "view" 등의 가능성 목록에서 무작위로 선택한 POST 문자열을 위조하여 감지 노력을 방해했습니다.
NETEAGLE - C2에 연결하기 위한 IP 주소와 포트 번호 쌍이 포함된 리소스를 다운로드하기 위해 HTTP를 사용할 수 있습니다.
Night Dragon - 위협 행위자는 C2에 동적 DNS 서비스를 사용했습니다.
Operation Dust Storm - 위협 행위자는 No-IP, Oray, 3322를 포함한 다양한 무료 공급업체의 동적 DNS 도메인을 사용했습니다.
Operation Spalax - 위협 행위자는 C2 인프라의 일부로 Duck DNS 및 DNS Exit를 포함한 동적 DNS 서비스를 사용했습니다.
RTM - 비트코인 블록체인 거래 데이터를 특정 옥텟으로 변환하거나 Namecoin 블록체인 내에서 직접 IP 주소에 액세스하여 Pony C2 서버 IP 주소를 확인했습니다.
SolarWinds 침해 - APT29는 동적 DNS 확인을 사용하여 C2에 대한 무작위로 생성된 하위 도메인을 구성하고 확인했습니다.
SUNBURST - 부모 도메인 내의 무작위로 생성된 하위 도메인에 대한 C2 인프라를 동적으로 해결합니다.
TA2541 - C2 인프라에 동적 DNS 서비스를 사용했습니다.
Tomiris - URL과 포트를 제공하는 신호화 서버에 연결한 다음 해당 URL에 GET 요청을 보내 C2를 설정합니다.
Transparent Tribe - C2를 설정하기 위해 동적 DNS 서비스를 사용했습니다.
완화책
네트워크 침입 방지
네트워크 시그니처를 사용하여 특정 적대적 맬웨어에 대한 트래픽을 식별하는 네트워크 침입 탐지 및 방지 시스템은 네트워크 수준에서 활동을 완화하는 데 사용할 수 있습니다. 맬웨어 연구원은 동적 해상도를 사용하는 맬웨어 변형을 역엔지니어링하고 맬웨어가 접촉을 시도할 미래의 C2 인프라를 결정할 수 있지만 이는 시간과 리소스가 많이 필요한 작업입니다.
웹 기반 콘텐츠 제한
어떤 경우에는 로컬 DNS 싱크홀을 사용하여 동적 해결과 관련된 동작을 방지할 수 있습니다.
발견
네트워크 트래픽
- 네트웤 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
-네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
암호화된 채널
적대자는 통신 프로토콜이 제공하는 고유한 보호에 의존하기보다는 암호화 알고리즘을 사용하여 명령 및 제어 트래픽을 숨길 수 있습니다. 보안 알고리즘을 사용하더라도 이러한 구현은 비밀 키가 맬웨어 샘플/구성 파일 내에서 인코딩 및/또는 생성되는 경우 역엔지니어링에 취약할 수 있습니다.
절차
APT29 - C2 통신을 보호하기 위해 맬웨어 내에 여러 계층의 암호화를 사용했습니다.
BITTER - C2 통신을 암호화했습니다.
Chaes - C2 채널에 암호화를 사용했습니다.
Cryptoistic - C2와 암호화된 통신을 수행할 수 있습니다.
Emotet - C2 서버로 전송하기 전에 데이터를 암호화합니다.
gh0st RAT - 감지를 피하기 위해 TCP 통신을 암호화했습니다.
KV Botnet 활동 - 명령 및 제어 활동에는 서버와의 통신에서 RSA 공개 키 전송이 포함되지만 이후에는 TLS 협상과 유사한 형태의 핸드셰이크를 나타내는 후속 협상 단계가 이어집니다.
Lizar - 클라이언트와 서버 간의 암호화된 통신을 지원할 수 있습니다.
MacMa - C2 통신을 위한 사용자 정의 프로토콜을 초기화하기 위해 TLS 암호화를 사용했습니다.
Magic Hound - C2 통신에 암호화된 http 프록시를 사용했습니다.
NETWIRE - C2 통신을 암호화할 수 있습니다.
PowerLess - C2 통신에 암호화된 채널을 사용할 수 있습니다.
PowGoop - C2에서 암호화된 명령을 수신할 수 있습니다.
RCSession - 암호화된 비콘을 사용하여 C2에 체크인할 수 있습니다.
Triton Safety Instrumented System 공격 - TEMP.Veles는 cryptcat 바이너리를 사용하여 트래픽을 암호화했습니다.
Tropic Trooper - 네트워크 감지를 방지하기 위해 C2와 암호화된 트래픽을 가지고 있습니다.
완화책
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
SSL/TLS 검사
SSL/TLS 검사를 사용하면 암호화된 세션의 내용을 보고 맬웨어 통신 프로토콜의 네트워크 기반 지표를 찾을 수 있습니다.
발견
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
폴백 채널
기본 채널이 손상되거나 접근이 불가능한 경우, 적대 세력은 신뢰할 수 있는 명령과 제어를 유지하고 데이터 전송 임계값을 피하기 위해 대체 또는 대체 통신 채널을 사용할 수 있습니다.
절차
앵커 - 연결을 설정하고 피해자 정보를 기본 C2 서버에 전달한 후 통신을 위해 보조 C2 서버를 사용할 수 있습니다.
AppleSeed - 기본 채널이 업로드 모드에 있을 때 C2에 대해 두 번째 채널을 사용할 수 있습니다.
APT41 - C2에 대한 대체 메커니즘으로 Steam 커뮤니티 페이지를 사용했습니다.
Bazar - 기본 서버에 장애가 발생하는 경우 대체 C2 서버를 사용할 수 있습니다.
BISCUIT - 기본 명령 및 제어 서버 이후에 연결되는 보조 폴백 명령 및 제어 서버가 포함되어 있습니다.
BlackEnergy - plus.google.com을 통해 백업 채널을 통해 통신할 수 있는 기능을 갖추고 있습니다.
Bumblebee - 기본 서버에 장애가 발생하면 백업 C2 서버를 사용할 수 있습니다.
Cardinal RAT - 여러 C2 호스트 및 포트 조합을 통해 통신할 수 있습니다.
CharmPower - 액터의 S3 버킷에서 새 도메인을 검색하여 360 루프마다 한 번씩 C2 채널을 변경할 수 있습니다.
CHOPSTICK - 현재 채널이 고장난 경우 새로운 C2 채널로 전환할 수 있습니다.
Crutch - 하드코딩된 GitHub 저장소를 대체 채널로 사용했습니다.
Derusbi - HTTP 비콘을 이용한 백업 통신 방식을 사용합니다.
DustySky - C2 서버용으로 하드코딩된 도메인이 두 개 있습니다. 첫 번째 도메인이 응답하지 않으면 두 번째 도메인을 시도합니다.
Ebury - 공격자가 3일 동안 감염된 시스템에 연결하지 않을 경우 DGA를 사용하기 시작하는 대체 메커니즘을 구현했습니다.
Linux용 Exaramel - 오류를 수신하면 새 C2 서버를 찾으려고 시도할 수 있습니다.
FatDuke - 타겟 조직당 여러 C2 서버를 사용했습니다.
FIN7 - Harpy 백도어 맬웨어는 HTTP가 실패할 경우 C2의 백업 채널로 DNS를 사용할 수 있습니다.
Gelsemium - C2에서 여러 도메인과 프로토콜을 사용할 수 있습니다.
HOPLIGHT - 하나가 실패할 경우를 대비해 여러 개의 C2 채널이 있습니다.
InvisiMole - 대체 C2 통신에 사용할 수 있는 여러 서버로 구성되었습니다.
JHUHUGIT - 먼저 직접 연결을 시도하여 C2 서버에 도달할 수 있는지 테스트하고 실패할 경우 프록시 설정을 얻고 프록시를 통해 연결을 보내며, 마지막으로 프록시 방법이 실패할 경우 실행 중인 브라우저에 코드를 삽입합니다.
Kazuar - C2 서버에 대해 여러 개의 URL을 허용할 수 있습니다.
Kevin - C2에 대해 하드코딩된 대체 도메인을 할당할 수 있습니다.
Kwampirs - 성공적인 연결이 설정될 때까지 순환하는 대규모 C2 서버 목록을 사용합니다.
Group - 맬웨어 SierraAlfa는 무작위로 선택된 하드코딩된 C2 서버 중 하나로 데이터를 보내고, 전송이 실패하면 새로운 C2 서버를 선택하여 다시 전송을 시도합니다.
Linfo - 원격 공격자가 C2 서버를 변경할 수 있는 백도어를 생성합니다.
Machete - FTP가 실패하면 HTTP를 통해 데이터를 전송했으며 대체 서버도 사용했습니다.
MiniDuke - Twitter를 통한 기본 C2 방법이 작동하지 않는 경우 Google 검색을 사용하여 C2 서버를 식별합니다.
Mis-Type - 먼저 C2에 대한 원시 TCP 소켓을 통한 Base64 인코딩된 네트워크 프로토콜을 사용하려고 시도하고, 해당 방법이 실패하면 대체 C2 서버와 통신하기 위해 보조 HTTP 기반 프로토콜로 돌아갑니다.
Mythic - 하나의 IP 또는 도메인이 차단된 경우 대체 메커니즘으로 C2 URL 목록을 사용할 수 있습니다.
NETEAGLE - 감염된 호스트가 프록시로 구성되어 있는지 감지하려고 시도합니다. 그렇다면 HTTP POST 요청을 통해 비콘을 보냅니다. 그렇지 않으면 UDP/6000을 통해 비콘을 보냅니다.
Night Dragon - 위협 행위자는 회사 엑스트라넷 서버를 보조 C2 서버로 사용했습니다.
OilRig - 맬웨어 ISMAgent는 HTTP를 통해 C2 서버에 도달할 수 없는 경우 DNS 터널링 메커니즘으로 돌아갑니다.
PipeMon - 특정 날짜에 도달하면 대체 C2 도메인으로 전환할 수 있습니다.
QUADAGENT - 통신이 실패할 경우 대체 채널로 C2 서버에 여러 프로토콜(HTTPS, HTTP, DNS)을 사용합니다.
QUIETEXIT - 첫 번째 하드코딩된 C2 주소가 실패하면 두 번째 하드코딩된 C2에 연결을 시도할 수 있습니다.
RainyDay - 한 가지 방법이 작동하지 않을 경우 C2에 대해 TCP와 HTTP 사이를 전환할 수 있는 기능을 가지고 있습니다.
RDAT - DNS C2 통신이 작동하지 않으면 HTTP를 사용했습니다.
S-Type - C2에 대해 주로 포트 80을 사용하지만 초기 통신이 실패하면 포트 443 또는 8080으로 돌아갑니다.
Shark - 다른 C2 서버를 사용하도록 구성을 업데이트할 수 있습니다.
ShimRat - 첫 번째 C2 위치를 사용할 수 없는 경우 보조 C2 위치를 사용했습니다.
SideTwist - C2에 대해 주로 포트 443을 사용했지만 폴백으로 포트 80을 사용할 수도 있습니다.
SslMM - 하드코딩된 기본 및 백업 C2 문자열이 있습니다.
Stuxnet - 새로운 C2 도메인을 생성하는 기능을 가지고 있습니다.
TAINTEDSCRIBE - C2 통신을 위해 5개의 하드코딩된 IP 주소 중 하나를 무작위로 선택할 수 있습니다. IP 중 하나가 실패하면 60초 동안 기다린 다음 다른 IP 주소를 시도합니다.
TinyTurla - C2 서버 IP 목록을 살펴보고 응답이 있을 때까지 각각에 등록을 시도합니다.
TrickBot - 연결을 설정하고 피해자 정보를 기본 C2 서버에 전달한 후 통신을 위해 보조 C2 서버를 사용할 수 있습니다.
Uroburos - 최대 10개의 채널을 사용하여 임플란트 간 통신을 할 수 있습니다.
Valak - 여러 C2 호스트를 통해 통신할 수 있습니다.
WinMM - 일반적으로 C2 통신을 위한 기본 도메인과 백업 도메인으로 구성됩니다.
XTunnel - 이 사용하는 C2 서버는 현재 사용 중인 포트에서 연결이 닫힐 경우 대체 수단으로 사용할 포트 번호를 피해자에게 제공합니다.
완화책
네트워크 침입 방지
네트워크 시그니처를 사용하여 특정 적대적 맬웨어에 대한 트래픽을 식별하는 네트워크 침입 탐지 및 방지 시스템은 네트워크 수준에서 활동을 완화하는 데 사용할 수 있습니다. 시그니처는 종종 프로토콜 내의 고유한 지표를 위한 것이며 특정 적대자 또는 도구에서 사용하는 특정 프로토콜을 기반으로 할 수 있으며 다양한 맬웨어 패밀리 및 버전에서 다를 가능성이 높습니다. 적대자는 시간이 지남에 따라 도구 C2 시그니처를 변경하거나 일반적인 방어 도구에 의한 탐지를 피하는 방식으로 프로토콜을 구성할 가능성이 높습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 있는 명령 및 제어를 유지하고 데이터 전송 임계값을 피하기 위해 기본 채널이 손상되거나 액세스할 수 없는 경우 폴백 또는 대체 통신 채널을 사용할 수 있는 새로 구성된 네트워크 연결을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 사용하는 프로세스는 의심스러울 수 있습니다.
참고: Zeek와 같은 네트워크 분석 프레임워크를 사용하여 TCP 네트워크 연결 생성을 캡처, 디코딩 및 경고할 수 있습니다. 아래 분석은 OSQuery의 이벤트 ID를 사용합니다.
- 네트워트 트래픽 흐름
예상치 못한 급증이나 기타 비정상적인 인바운드/아웃바운드 패턴 등 흔하지 않은 데이터 흐름이 있는지 네트워크 데이터를 모니터링합니다.
인프라 숨기기
적대자는 C2 인프라의 탐지를 숨기고 회피하기 위해 네트워크 트래픽을 조작할 수 있습니다. 이는 방어 도구의 트래픽을 식별하고 필터링하는 것, 악성 도메인을 마스킹하여 자동화된 스캐닝 도구와 보안 연구원 모두에게 실제 목적지를 숨기는 것 및 기타 악성 아티팩트를 숨겨 발견을 지연시키고 그렇지 않으면 식별, 차단 또는 완전히 중단될 수 있는 적대자 인프라의 효과를 연장하는 것 등 다양한 방법으로 달성할 수 있습니다.
C2 네트워크에는 IP 주소를 위장하기 위해 프록시 나 VPN을 사용하는 것이 포함될 수 있으며 , 이를 통해 적대자는 일반 네트워크 트래픽에 섞여 조건부 액세스 정책이나 남용 방지 보호를 우회할 수 있습니다. 예를 들어, 적대자는 가상 사설 클라우드를 사용하여 IP 주소를 스푸핑하여 피해자의 IP 주소 범위와 더 가깝게 맞출 수 있습니다. 이를 통해 소스 IP 주소의 지리적 위치에 의존하는 보안 조치를 우회할 수도 있습니다.
적대자는 또한 일반적인 사고 대응자 또는 보안 어플라이언스 사용자 에이전트를 차단/리디렉션하는 것을 포함하여 다양한 방법으로 방어 도구를 회피하기 위해 네트워크 트래픽을 필터링하려고 시도할 수 있습니다. IP 및 지오펜싱을 기반으로 트래픽을 필터링하면 자동화된 샌드박싱 또는 연구자 활동(예: 가상화/샌드박스 회피 )을 피할 수도 있습니다.
C2 인프라를 숨기는 것은 Acquire Infrastructure 및 Compromise Infrastructure 와 같은 리소스 개발 활동 으로도 지원될 수 있습니다 . 예를 들어, 널리 신뢰받는 호스팅 서비스나 도메인(예: 유명한 URL 단축 제공자나 C2 네트워크용 마케팅 서비스)을 사용하면 적대자가 양성 콘텐츠를 제공한 후 특정 조건이 충족되면 피해자를 악성 웹 페이지나 인프라로 리디렉션할 수 있습니다.
절차
APT29 - 일반적으로 동일한 ISP IP 주소 범위 내에 있는 손상된 주거용 엔드포인트를 프록시로 사용하여 C2 트래픽의 실제 소스를 숨깁니다.
DarkGate - 명령 및 제어에는 Akamai CDN이나 Amazon Web Services와 같은 합법적인 서비스로 위장한 맬웨어에 하드코딩된 도메인이 포함됩니다.
SolarWinds 침해 - APT29는 C2 인프라의 호스트 이름을 피해자 환경의 합법적인 호스트 이름과 일치하도록 설정했습니다. 또한 VPN 인프라에 피해자와 같은 국가에서 시작된 IP 주소를 사용했습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
도메인 이름
- 도메인 등록
도메인 등록 정보를 위한 WHOIS 데이터베이스와 같이 새로 인수한 인프라를 추적하는 데 도움이 되는 서비스를 사용하거나, 도메인 등록자 정보 및/또는 도메인 확인 정보에 대한 비정상적인 변경 사항을 모니터링하여 도메인 손상을 나타낼 수 있는 서비스를 사용하는 것을 고려하세요.
인터넷 스캔
- 응답 내용
적대 세력이 인프라(예: 명령 및 제어에 사용되는 서버)를 프로비저닝하면 인터넷 스캔을 통해 적대 세력이 획득한 인프라를 사전에 발견하는 데 도움이 될 수 있습니다. 요청이 필터링되거나 차단되면 전송된 응답과 같은 이 작업의 세부 정보를 사용하여 리소스의 특성이나 생성에 대한 추가 통찰력을 얻을 수 있습니다.
-응답 메타데이터
인터넷 스캐너는 악성 C2 인프라와 관련된 아티팩트를 찾는 데 사용될 수 있습니다. 스캔에서 수집한 인터넷 연결 리소스의 데이터와 패턴을 네트워크 트래픽과 상관시켜 잠재적인 적대적 C2 네트워크에 대한 추가 통찰력을 얻습니다.
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
네트워크 탐지 시스템은 특정 적대적 명령 및 제어 인프라에 대한 트래픽을 식별할 수 있습니다. 스캔에서 수집한 인터넷 연결 리소스의 데이터 및 패턴과 네트워크 트래픽을 상관시켜 잠재적인 적대적 C2 네트워크에 대한 추가 통찰력을 얻습니다.
Ingress 도구 전송
적대자는 외부 시스템에서 도구나 다른 파일을 손상된 환경으로 전송할 수 있습니다. 도구나 파일은 명령 및 제어 채널이나 ftp 와 같은 대체 프로토콜을 통해 외부 적대자가 제어하는 시스템에서 피해자 네트워크로 복사될 수 있습니다 . 일단 존재하면 적대자는 손상된 환경 내에서 피해자 장치 간에 도구를 전송/확산할 수도 있습니다(예: Lateral Tool Transfer ).
Windows에서 적대자는 copy, finger, certutil 및 PowerShell 명령(예: IEX(New-Object Net.WebClient).downloadString()및 )과 같은 다양한 유틸리티를 사용하여 도구를 다운로드할 수 있습니다. Linux 및 macOS 시스템 및 와 Invoke-WebRequest같은 다양한 유틸리티도 있습니다 . curlscpsftptftprsyncfingerwget
yum공격자는 또한 또는 와 같은 설치 프로그램 및 패키지 관리자를 악용하여 winget피해자 호스트에 도구를 다운로드할 수 있습니다. 공격자는 또한 Windows 프로토콜 핸들러와 같은 파일 애플리케이션 기능을 악용하여 사용자 실행 (일반적으로 피싱search-ms 미끼와 상호 작용한 후) 에서 호출한 원격 파일 검색을 통해 피해자에게 악성 파일을 전달했습니다 .
파일은 다양한 웹 서비스 및 피해자 시스템에 있는 기본 도구 또는 기타 도구를 사용하여 전송할 수도 있습니다 . 어떤 경우에는 적대자가 Dropbox나 OneDrive와 같이 웹 기반 클라이언트와 온프레미스 클라이언트 간에 동기화하는 서비스를 활용하여 피해자 시스템으로 파일을 전송할 수 있습니다. 예를 들어, 클라우드 계정을 침해하고 서비스의 웹 포털에 로그인하면 적대자가 파일을 피해자의 컴퓨터로 전송하는 자동 동기화 프로세스를 트리거할 수 있습니다.
절차
2015년 우크라이나 전력 공격 - Sandworm Team은 감염된 시스템에 추가 악성 도구를 푸시하여 사용자 자격 증명을 훔치고 측면으로 이동하며 데이터를 파괴했습니다.
ABK - C2에서 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Action RAT - 감염된 컴퓨터에 추가 페이로드를 다운로드하는 기능이 있습니다.
에이전트 테슬라 - 피해자의 컴퓨터에서 실행하기 위해 추가 파일을 다운로드할 수 있습니다.
Agent.btz - 지정된 도메인에서 암호화된 바이너리를 다운로드하려고 시도합니다.
Ajax 보안팀 - 추가 맬웨어를 감염된 시스템에 다운로드하는 맞춤형 맬웨어인 Wrapper/Gholee를 사용했습니다.
Amadey - 호스트 컴퓨터를 추가 맬웨어로 감염시키기 위해 파일을 다운로드하고 실행할 수 있습니다.
Anchor - 추가 페이로드를 다운로드할 수 있습니다.
Andariel - 손상된 호스트에 추가 도구와 맬웨어를 다운로드했습니다.
ANDROMEDA - C2에서 추가 페이로드를 다운로드할 수 있습니다.
APT-C-36 - 악성 문서가 열린 후 지정된 도메인에서 바이너리 데이터를 다운로드했습니다.
APT18 - 피해자의 컴퓨터에 파일을 업로드할 수 있습니다.
APT28 - 2단계 임플란트를 얻기 위해 1단계 다운로더를 사용하여 C2 서버에 연락하는 것을 포함하여 추가 파일을 다운로드했습니다.
APT29 - 손상된 네트워크에 추가 도구와 맬웨어를 다운로드했습니다.
APT3 - 원격 머신에 파일을 복사할 수 있는 도구가 있습니다.
APT32 - 웹사이트 방문자를 프로파일링하고 손상시키는 추가 프레임워크를 다운로드하기 위해 피해자 웹사이트에 JavaScript를 추가했습니다.
APT33 - C2 서버로부터 추가 파일과 프로그램을 다운로드했습니다.
APT37 - 손상된 웹사이트에서 2단계 맬웨어를 다운로드했습니다.
APT38 - 피해자의 컴퓨터에 파일을 다운로드하고 업로드할 수 있는 기능을 갖춘 백도어인 NESTEGG를 사용했습니다.
APT39 - 손상된 호스트에 도구를 다운로드했습니다.
APT41 - certutil을 사용하여 추가 파일을 다운로드했습니다. 초기 액세스 후 명령 셸을 통해 Cobalt Strike와 같은 사후 익스플로잇 도구를 다운로드했습니다.
APT41 DUST - 웹 셸을 통해 DUSTPAN certutil.exe 드로퍼를 다운로드하는 실행을 포함합니다.
Aquatic Panda - 손상된 호스트에 추가 맬웨어를 다운로드했습니다.
Aria-body - C2에서 추가 페이로드를 다운로드하는 기능을 가지고 있습니다.
Astaroth - certutil 및 BITSAdmin을 사용하여 추가 맬웨어를 다운로드합니다.
AsyncRAT - SFTP를 통해 파일을 다운로드하는 기능을 가지고 있습니다.
Attor - 추가 플러그인, 업데이트 및 기타 파일을 다운로드할 수 있습니다.
AuditCred - 파일과 추가 맬웨어를 다운로드할 수 있습니다.
Avenger - C2에서 손상된 호스트로 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Azorult - 추가 파일을 다운로드하고 실행할 수 있습니다. Hermes라는 랜섬웨어 페이로드도 다운로드했습니다.
BabyShark - C2에서 추가 파일을 다운로드했습니다.
BackConfig - 손상된 호스트에서 추가 페이로드를 다운로드하고 실행할 수 있습니다.
Backdoor.Oldrea - C2에서 추가 모듈을 다운로드할 수 있습니다.
BackdoorDiplomacy - 손상된 호스트에 추가 파일과 도구를 다운로드했습니다.
BADFLICK - C2 서버에서 파일을 다운로드했습니다.
BADHATCH - 손상된 시스템에 두 번째 단계의 악성 DLL 파일을 로드할 수 있는 기능을 가지고 있습니다.
BADNEWS - C2 채널을 통해 새로운 버전의 자체 파일을 포함하여 추가 파일을 다운로드할 수 있습니다.
BadPatch - 맬웨어를 다운로드하고 실행하거나 업데이트할 수 있습니다.
Bandook - 시스템에 파일을 다운로드할 수 있습니다.
Bankshot - 피해자의 컴퓨터에 파일과 보조 페이로드를 업로드합니다.
Bazar - 랜섬웨어 및 Cobalt Strike와 같은 사후 악용 프레임워크를 포함한 추가 페이로드를 다운로드하고 배포할 수 있습니다.
BBK - C2에서 감염된 호스트로 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
BendyBear - C2 서버에서 임플란트를 다운로드하도록 설계되었습니다.
BISCUIT - C2 서버에서 파일을 다운로드하는 명령이 있습니다.
Bisonal - 피해자의 컴퓨터에서 실행하기 위해 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
BITSAdmin - 파일을 업로드 및/또는 다운로드하기 위한 BITS 작업을 생성할 수 있습니다.
BITTER - 손상된 호스트에 추가 맬웨어 및 도구를 다운로드했습니다.
BlackMould - 피해자의 컴퓨터에 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
BLINDINGCAN - 피해자 컴퓨터에 파일을 다운로드했습니다.
BLUELIGHT - 호스트에 추가 파일을 다운로드할 수 있습니다.
Bonadan - C2 서버에서 추가 모듈을 다운로드할 수 있습니다.
BONDUPDATER - C2 서버에서 파일을 다운로드하거나 업로드할 수 있습니다.
BoomBox - 손상된 시스템에 다음 단계 맬웨어 구성 요소를 다운로드할 수 있는 기능을 가지고 있습니다.
BoxCaon - 파일을 다운로드할 수 있습니다.
Briba - 감염된 호스트에 파일을 다운로드합니다.
BRONZE BUTLER - wget과 유사한 도구인 DGet을 포함하여 다양한 도구를 사용하여 파일을 다운로드했습니다.
Brute Ratel C4 - 손상된 호스트에 파일을 다운로드할 수 있습니다.
build_downer - C2에서 감염된 호스트로 파일을 다운로드하는 기능이 있습니다.
Bumblebee - 명령을 사용하는 것을 포함하여 추가 페이로드를 다운로드하고 실행할 수 있습니다.
Bundlore - 자체의 새로운 버전을 다운로드하여 실행할 수 있습니다.
BUSHWALK - 웹 요청의 명령 매개변수를 통해 전송되는 악성 페이로드를 작성할 수 있습니다.
C0010 - UNC3890 액터는 손상된 호스트에 도구와 맬웨어를 다운로드했습니다.
C0015 - 위협 행위자는 손상된 네트워크에 추가 도구와 파일을 다운로드했습니다.
C0017 - APT41은 손상된 시스템에 악성 페이로드를 다운로드했습니다.
C0018 - 위협 행위자는 Mimikatz 및 Sliver와 같은 추가 도구와 Cobalt Strike 및 AvosLocker 랜섬웨어를 피해자 네트워크에 다운로드했습니다.
C0021 - 위협 행위자는 피해자의 컴퓨터에 추가 도구와 파일을 다운로드했습니다.
C0026 - 위협 행위자는 선택된 손상된 호스트에 악성 페이로드를 다운로드했습니다.
C0027 - Scattered Spider는 피해자 조직 시스템을 사용하여 도구를 다운로드했습니다.
Calisto - 피해자의 컴퓨터에 파일을 업로드하고 다운로드할 수 있는 기능을 가지고 있습니다.
CallMe - C2 서버에서 피해자에게 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Cannon - 실행을 위한 페이로드를 다운로드할 수 있습니다.
Carberp - C2 서버에서 새로운 플러그인을 다운로드하여 실행할 수 있습니다.
Cardinal RAT - 추가 페이로드를 다운로드하고 실행할 수 있습니다.
CARROTBALL - 원격 페이로드를 다운로드하고 설치하는 기능을 가지고 있습니다.
CARROTBAT - certutil을 통해 원격 파일을 다운로드하고 실행할 수 있는 기능을 가지고 있습니다.
Caterpillar WebShell - 시스템에 파일을 다운로드하고 업로드하는 모듈이 있습니다.
certutil - 지정된 URL에서 파일을 다운로드할 수 있습니다.
Chaes - 감염된 컴퓨터에 추가 파일을 다운로드할 수 있습니다.
CharmPower - 손상된 호스트에 추가 모듈을 다운로드하는 기능을 가지고 있습니다.
ChChes - 추가 모듈을 포함한 파일을 다운로드할 수 있습니다.
Chimera - 원격으로 대상 시스템에 도구와 맬웨어를 복사했습니다.
CHIMNEYSWEEP - C2에서 추가 파일을 다운로드할 수 있습니다.
China Chopper - 서버 구성 요소는 원격 파일을 다운로드할 수 있습니다.
Chrome - C2에서 코드를 다운로드할 수 있습니다.
Cinnamon Tempest - Cobalt Strike를 포함한 파일을 손상된 호스트에 다운로드했습니다.
CloudDuke - 웹 주소나 Microsoft OneDrive 계정에서 추가 맬웨어를 다운로드하여 실행합니다.
cmd - 원격으로 연결된 외부 시스템에서 파일을 복사하거나 해당 시스템에서 파일을 복사할 수 있습니다.
Cobalt Group - github.com 및 sendspace.com과 같은 공개 사이트를 사용하여 파일을 업로드한 다음 피해자 컴퓨터에 다운로드했습니다. 그룹의 JavaScript 백도어 역시 파일을 다운로드할 수 있습니다.
Cobalt Strike - 피해자 컴퓨터에 추가 탑재물을 전달할 수 있습니다.
CoinTicker - Python 스크립트를 실행하여 두 번째 단계를 다운로드합니다.
Conficker - 감염된 컴퓨터에 HTTP 서버를 다운로드합니다.
CookieMiner - 웹 서버에서 추가 스크립트를 다운로드할 수 있습니다.
CORESHELL - C2 서버에서 또 다른 드로퍼를 다운로드합니다.
CostaBricks - 손상된 호스트에 SombRAT를 로드하는 데 사용되었습니다.
CostaRicto - 손상된 호스트에 맬웨어와 도구를 다운로드했습니다.
CreepyDrive - 손상된 호스트에 파일을 다운로드할 수 있습니다.
Crimson - C2 서버에서 파일을 검색하는 명령이 포함되어 있습니다.
Cryptoistic - 파일을 보내고 받을 수 있는 기능을 가지고 있습니다.
CSPY 다운로더 - 손상된 호스트에 추가 도구를 다운로드할 수 있습니다.
쿠바 - C2 서버에서 파일을 다운로드할 수 있습니다.
Cutting Edge - 원격 파일을 Ivanti Connect Secure VPN에 다운로드하기 위해 익스플로잇을 활용했습니다.
Cyclops Blink - 대상 시스템에 파일을 다운로드하는 기능을 가지고 있습니다.
Dacls - C2 서버에서 페이로드를 다운로드할 수 있습니다.
Daggerfly - PowerShell과 BITSAdmin을 사용하여 피해자 컴퓨터에서 실행할 외부 위치에서 후속 페이로드를 검색했습니다.
DanBot - 대상 시스템에 추가 파일을 다운로드할 수 있습니다.
DarkComet - 감염된 컴퓨터에 모든 파일을 로드하여 실행할 수 있습니다.
DarkGate - 명령 및 제어 서버에서 암호화된 트래픽에서 암호화폐 채굴 페이로드 및 명령을 검색합니다. 명령을 실행하는 Windows 배치 스크립트를 사용하여 후속 페이로드를 검색합니다.
Darkhotel - C2 서버에서 추가 맬웨어를 다운로드하는 1단계 페이로드를 사용했습니다.
DarkTortilla - 키로깅, 암호화폐 채굴 및 기타 기능을 위한 추가 패키지를 다운로드할 수 있습니다. 여러 악성 페이로드를 검색할 수 있습니다.
Daserf - 원격 파일을 다운로드할 수 있습니다.
DDKONG - 피해자의 컴퓨터에 파일을 다운로드하고 업로드합니다.
DEATHRANSOM - 손상된 호스트에 파일을 다운로드할 수 있습니다.
Denis - 시스템에 추가 백도어와 해킹 도구를 배포합니다.
Diavol - C2에서 wscpy.exe를 포함한 구성 업데이트 및 추가 페이로드를 수신할 수 있습니다.
Dipsind - 원격 파일을 다운로드할 수 있습니다.
Disco - SMB를 통해 대상 시스템에 파일을 다운로드할 수 있습니다.
DnsSystem - 손상된 시스템에 파일을 다운로드할 수 있습니다.
DOGCALL - 추가 페이로드를 다운로드하고 실행할 수 있습니다.
Doki - C2에서 스크립트를 다운로드했습니다.
도넛 - 이전에 준비된 셸코드 페이로드를 다운로드하고 실행할 수 있습니다.
down_new - 손상된 호스트에 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Downdelph - 주요 구성 파일을 다운로드한 후 C2 서버에서 여러 개의 페이로드를 다운로드합니다.
Dragonfly - 피해자 환경에서 한 번 운영을 위한 도구를 복사하여 설치했습니다.
DRATzarus - 감염된 시스템에 추가 도구를 배포할 수 있습니다.
DropBook - 추가 파일을 다운로드하고 실행할 수 있습니다.
Drovorub - 손상된 호스트에 파일을 다운로드할 수 있습니다.
Dtrack - 피해자의 컴퓨터에 파일을 다운로드하고 업로드할 수 있습니다.
DUSTTRAP - 추가적인 탑재물을 검색하여 로드할 수 있습니다.
Dyre - 추가 파일을 다운로드하고 실행하는 명령이 있습니다.
Ecipekac - 손상된 호스트에 추가 페이로드를 다운로드할 수 있습니다.
Egregor - C2 서버에서 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Elderwood - Ritsol 백도어 트로이 목마는 원격 위치에서 손상된 호스트에 파일을 다운로드할 수 있습니다.
Elise - 실행을 위해 C2 서버에서 추가 파일을 다운로드할 수 있습니다.
Emissary - C2 서버에서 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Empire - 피해자 컴퓨터에 업로드하고 다운로드할 수 있습니다.
esentutl - 지정된 URL에서 파일을 복사할 수 있습니다.
EvilBunny - C2에서 추가 Lua 스크립트를 다운로드했습니다.
EVILNUM - 피해자의 컴퓨터에 파일을 다운로드하고 업로드할 수 있습니다.
Evilnum - 필요에 따라 추가 구성 요소나 도구를 배포할 수 있습니다.
Linux용 Exaramel - 원격 C2 서버에서 파일을 다운로드하는 명령이 있습니다.
Explosive - 감염된 시스템에 파일을 다운로드하는 기능이 있습니다.
Felismus - 원격 서버에서 파일을 다운로드할 수 있습니다.
FELIXROOT - 피해자의 컴퓨터에서 파일을 다운로드하고 업로드합니다.
FIN13 -손상된 시스템에 추가 도구와 맬웨어를 다운로드했습니다.
FIN7 - 추가 페이로드를 검색하는 셸코드를 시작하기 위해 PowerShell 스크립트를 사용하는 것을 포함하여 피해자의 컴퓨터에서 실행하기 위한 추가 맬웨어를 다운로드했습니다.
FIN8 - 원격 코드 실행을 사용하여 후속 페이로드를 다운로드했습니다.
Flagpro - C2 서버에서 추가 맬웨어를 다운로드할 수 있습니다.
FlawedAmmyy - C2에서 파일을 전송할 수 있습니다.
FoggyWeb - 액터가 제어하는 C2 서버에서 추가 악성 구성 요소를 수신하여 손상된 AD FS 서버에서 실행할 수 있습니다.
Fox Kitten - PsExec를 포함한 추가 도구를 엔드포인트에 직접 다운로드했습니다.
프랑켄슈타인 - 피해자의 컴퓨터에 파일과 도구를 다운로드했습니다.
ftp - 외부 시스템의 도구나 파일을 손상된 환경으로 전송하는 데 악용될 수 있습니다.
FunnyDream - 손상된 호스트에 추가 파일을 다운로드할 수 있습니다.
FunnyDream - 손상된 시스템에 추가 드로퍼와 백도어를 다운로드했습니다.
FYAnti - 손상된 호스트에 추가 페이로드를 다운로드할 수 있습니다.
GALLIUM - 작업 중에 portqry.exe, 이름이 바뀐 cmd.exe 파일, winrar 및 HTRAN을 포함하여 피해자에게 추가 도구를 투하했습니다.
Gamaredon Group - 손상된 호스트에 추가 맬웨어 및 도구를 다운로드했습니다. 백도어 스크립트를 사용하여 피해자 환경에 도착하면 추가 페이로드를 검색하고 디코딩합니다.
Gazer - 파일을 다운로드하는 작업을 실행할 수 있습니다.
Gelsemium - 손상된 호스트에 추가 플러그인을 다운로드할 수 있습니다.
gh0st RAT - 피해자의 컴퓨터에 파일을 다운로드할 수 있습니다.
Gold Dragon - C2 서버에서 추가 구성 요소를 다운로드할 수 있습니다.
GoldenSpy - 시스템에서 찾을 수 없는 경우 GoldenSpy 자체를 포함하여 원격 C2에서 파일을 지속적으로 다운로드하고 실행하려고 시도합니다.
GoldMax - 추가 파일을 다운로드하고 실행할 수 있습니다.
Gootloader - 하드코딩된 웹 도메인에서 2단계 코드를 가져올 수 있습니다.
Gorgon Group - C2 서버에서 추가 파일을 다운로드할 수 있습니다.
Grandoreiro - 로더 코드 내의 하드코딩된 URL에서 두 번째 단계를 다운로드할 수 있습니다.
GreyEnergy - 추가 모듈과 페이로드를 다운로드할 수 있습니다.
GuLoader - 피해자의 컴퓨터에서 실행하기 위해 추가 맬웨어를 다운로드할 수 있습니다.
H1N1 - WinINet HTTP 요청을 사용하여 원격으로 호스팅된 URL에서 파일을 다운로드하고 실행하는 명령이 포함되어 있습니다.
HAFNIUM - Nishang 및 PowerCat을 포함한 맬웨어 및 도구를 손상된 호스트에 다운로드했습니다.
Hancitor - C2에서 추가 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
행복한 일 - 2단계 페이로드를 다운로드하고 실행할 수 있습니다.
기생충 - Helminth는 추가 파일을 다운로드할 수 있습니다.
HEXANE - 손상된 호스트에 추가 페이로드와 악성 스크립트를 다운로드했습니다.
Hi-Zor - C2 서버에서 파일을 업로드하고 다운로드할 수 있는 기능을 가지고 있습니다.
HiddenWasp - 다운로드 서버에서 시스템으로 tar 압축 아카이브를 다운로드합니다.
Hikit - 손상된 호스트에 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Hildegard - Monero 암호화폐 마이너를 빌드하고 실행하는 추가 스크립트를 다운로드했습니다.
HomeLand Justice - 웹 셸을 사용하여 손상된 인프라에 파일을 다운로드했습니다.
HOPLIGHT - 파일을 업로드 및 다운로드하기 위해 원격 호스트에 연결하는 기능을 가지고 있습니다.
HotCroissant - 명령 및 제어(C2) 서버에서 피해자 컴퓨터로 파일을 업로드할 수 있는 기능을 가지고 있습니다.
HTTPBrowser - C2 서버에서 손상된 시스템에 파일을 쓸 수 있습니다.
Hydraq - 원격 공격자가 파일과 추가 맬웨어 구성 요소를 다운로드할 수 있는 백도어를 생성합니다.
HyperBro - 추가 파일을 다운로드하는 기능이 있습니다.
IcedID - C2에서 추가 모듈과 구성 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
IMAPLoader - 피해자 시스템에서 실행하기 위해 이메일 메시지에 인코딩된 후속 페이로드를 검색하는 데 사용되는 로더입니다.
INC Ransom - Advanced IP Scanner를 포함한 손상된 서버에 도구를 다운로드했습니다.
IndigoZebra - C2 서버에서 추가 파일과 도구를 다운로드했습니다.
Indrik Spider - 손상된 호스트에 추가 스크립트, 맬웨어 및 도구를 다운로드했습니다.
Industroyer - 원격 C2 서버에서 셸코드 페이로드를 다운로드하여 메모리에 로드합니다.
InvisiMole - 작업을 위해 피해자의 컴퓨터에 파일을 업로드할 수 있습니다.
Ixeshe - 추가 파일을 다운로드하고 실행할 수 있습니다.
Javali - 원격 C2 서버에서 페이로드를 다운로드할 수 있습니다.
JHUHUGIT - C2 서버에서 추가 페이로드를 검색할 수 있으며, 피해자의 컴퓨터에 파일을 다운로드하는 명령이 있습니다.
JPIN - 파일을 다운로드하고 자체 업그레이드할 수 있습니다.
jRAT - 파일을 다운로드하고 실행할 수 있습니다.
JSS 로더 - 손상된 호스트에 악성 실행 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
KARAE - 2단계 맬웨어를 포함한 파일을 업로드 및 다운로드할 수 있습니다.
Kasidet - 추가 파일을 다운로드하고 실행할 수 있는 기능이 있습니다.
Kazuar - 피해자의 컴퓨터에 로드할 추가 플러그인을 다운로드하며, 여기에는 자체 바이너리를 업그레이드하고 교체하는 기능도 포함됩니다.
Ke3chang - 손상된 시스템에 파일을 다운로드하기 위해 도구를 사용했습니다.
Kerrdown - OS 아키텍처를 기반으로 손상된 호스트에 특정 페이로드를 다운로드할 수 있습니다.
Kessel - C2 서버에서 추가 모듈을 다운로드할 수 있습니다.
Kevin - 손상된 호스트에 파일을 다운로드할 수 있습니다.
KeyBoy - 다운로드 및 업로드 기능이 있습니다.
KEYMARBLE - 피해자의 컴퓨터에 파일을 업로드하고 추가 페이로드를 다운로드할 수 있습니다.
KGH_SPY - 원격 서버에서 코드를 다운로드하고 실행할 수 있는 기능을 가지고 있습니다.
Kimsuky - 추가 스크립트, 도구 및 맬웨어를 피해자 시스템에 다운로드했습니다.
Kinsing - C2에서 추가적인 측면 이동 스크립트를 다운로드했습니다.
Kivars - 파일을 다운로드하고 실행할 수 있는 기능을 가지고 있습니다.
Koadic - 추가 파일과 도구를 다운로드할 수 있습니다.
KOCTOPUS - 시스템에 파일을 다운로드하기 위해 PowerShell 명령을 실행했습니다.
KONNI - 파일을 다운로드하여 피해자의 컴퓨터에서 실행할 수 있습니다.
KV Botnet 활동 - 네트워크 노드를 손상시킬 때 추가 페이로드를 다운로드하기 위한 스크립트 사용이 포함되었습니다.
Kwampirs - C2 서버에서 추가 파일을 다운로드합니다.
Latrodectus - C2에서 PE, DLL 및 셸코드를 다운로드하여 실행할 수 있습니다.
Lazarus Group - C2에서 손상된 호스트로 파일, 맬웨어 및 도구를 다운로드했습니다.
LazyScripter - 손상된 호스트에 추가 도구를 다운로드했습니다.
Leviathan - 적대자가 제어하는 서버에서 추가 스크립트와 파일을 다운로드했습니다.
LightNeuron - 추가 파일을 다운로드하고 실행할 수 있는 기능이 있습니다.
Linfo - 원격 공격자가 손상된 호스트에 파일을 다운로드할 수 있는 백도어를 생성합니다.
LiteDuke - 파일을 다운로드하는 기능이 있습니다.
LitePower - 시스템 명령이 포함된 페이로드를 손상된 호스트로 다운로드할 수 있는 기능을 가지고 있습니다.
Lizar - 추가 플러그인, 파일 및 도구를 다운로드할 수 있습니다.
Lokibot - 피해자의 컴퓨터에 여러 단계의 항목을 다운로드했습니다.
LoudMiner - SCP를 사용하여 C2에서 마이너를 업데이트했습니다.
LOWBALL - Dropbox API를 사용하여 두 개의 파일을 요청하는데, 이는 손상된 호스트를 LOWBALL 맬웨어의 새 버전으로 업데이트하는 메커니즘일 가능성이 높습니다.
Lucifer - certutil을 사용하여 자체 복제본을 다운로드하고 실행할 수 있습니다.
LuminousMoth - 손상된 호스트에 추가 맬웨어 및 도구를 다운로드했습니다.
마체테 - 피해자의 컴퓨터에서 실행하기 위해 추가 파일을 다운로드할 수 있습니다.
MacMa - 권한 상승에 대한 악용을 포함하여 추가 파일을 다운로드했습니다.
macOS.OSAMiner - 적대적인 공격자가 제어하는 공개 웹페이지에서 스트립된 페이로드를 다운로드하는 데 사용되었습니다.
Mafalda - 손상된 호스트에 추가 파일을 다운로드할 수 있습니다.
Magic Hound - 서버에서 피해자에게 추가 코드와 파일을 다운로드했습니다.
MarkiRAT - BITSAdmin을 사용하는 것을 포함하여 C2 서버에서 추가 파일 및 도구를 다운로드할 수 있습니다.
MCMD - 손상된 호스트에 추가 파일을 업로드할 수 있습니다.
MechaFlounder - 손상된 호스트에 파일을 업로드하고 다운로드할 수 있는 기능을 가지고 있습니다.
Melcoz - 손상된 호스트에 추가 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
menuPass - 피해자에게 업데이트 및 새로운 맬웨어를 설치했습니다.
Metador - 손상된 시스템에 도구와 맬웨어를 다운로드했습니다.
metaMain - 손상된 시스템에 파일을 다운로드할 수 있습니다.
Metamorfo - 추가 파일을 다운로드하여 실행하기 위해 MSI 파일을 사용했습니다.
Meteor - 피해자의 컴퓨터에서 실행하기 위해 추가 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
Micropsia - C2 서버에서 실행 파일을 다운로드하여 실행할 수 있습니다.
Milan - C2로부터 파일을 수신하여 문자 시퀀스로 시작하는 로그 폴더에 저장했습니다.
MiniDuke - GIF 파일을 통해 피해자에게 암호화된 추가 백도어를 다운로드할 수 있습니다.
Mis-Type - 손상된 호스트에 추가 맬웨어 및 파일을 다운로드했습니다.
Misdat - C2에서 파일을 다운로드할 수 있습니다.
Mivast - .exe 파일을 다운로드하고 실행할 수 있는 기능을 가지고 있습니다.
MobileOrder - C2 서버에서 피해자 모바일 기기의 SD 카드로 파일을 다운로드하는 명령이 있습니다.
MoleNet - C2에서 추가 페이로드를 다운로드할 수 있습니다.
MobileOrder - C2 서버에서 피해자 모바일 기기의 SD 카드로 파일을 다운로드하는 명령이 있습니다.
MoleNet - C2에서 추가 페이로드를 다운로드할 수 있습니다.
Molerats - 실행 파일을 사용하여 다양한 출처에서 악성 파일을 다운로드했습니다.
Mongall - 대상 시스템에 파일을 다운로드할 수 있습니다.
Moonstone Sleet - 피해자 시스템에 대한 초기 설치 중에 명령 및 제어 인프라에서 최종 단계 탑재물을 회수했습니다.
More_eggs - 추가 페이로드를 다운로드하고 실행할 수 있습니다.
Moses Staff - 웹 셸을 다운로드하여 설치했습니다.
모기 - 피해자에게 파일을 업로드하고 다운로드할 수 있습니다.
MuddyWater - 피해자의 컴퓨터에 추가 파일을 업로드할 수 있는 맬웨어를 사용했습니다.
Mustang Panda - 초기 감염 단계 이후 추가 실행 파일을 다운로드했습니다.
Mustard Tempest - 손상된 호스트에 2차 탑재물과 3단계 임플란트를 배치했습니다.
NanHaiShu - URL에서 추가 파일을 다운로드할 수 있습니다.
NanoCore - 실행을 위한 추가 모듈을 다운로드하고 활성화하는 기능이 있습니다.
NavRAT - 원격으로 파일을 다운로드할 수 있습니다.
NDiskMonitor - 지정된 URL에서 파일을 다운로드하고 실행할 수 있습니다.
Nebulae - C2에서 파일을 다운로드할 수 있습니다.
Neoichor - 손상된 호스트에 추가 파일을 다운로드할 수 있습니다.
Nerex - 원격 공격자가 손상된 호스트에 파일을 다운로드할 수 있는 백도어를 생성합니다.
Netwalker - 배포하는 운영자는 psexec 및 certutil을 사용하여 Netwalker 페이로드를 검색했습니다.
NETWIRE - C2에서 손상된 호스트로 페이로드를 다운로드할 수 있습니다.
Nidiran - 파일을 다운로드하고 실행할 수 있습니다.
Night Dragon - 관리 유틸리티를 사용하여 원격 시스템에 트로이 목마 구성 요소를 전달했습니다.
NightClub - 감염된 호스트에 여러 개의 추가 플러그인을 로드할 수 있습니다.
njRAT - 피해자의 컴퓨터에 파일을 다운로드할 수 있습니다.
NOKKI - 실행을 위한 원격 모듈을 다운로드했습니다.
Nomadic Octopus - 악성 매크로를 사용하여 피해자의 컴퓨터에 추가 파일을 다운로드했습니다.
Octopus - 피해자의 컴퓨터에 추가 파일과 도구를 다운로드할 수 있습니다.
OilRig - 원격 파일을 피해자에게 다운로드할 수 있습니다.
Okrum - 시스템에 파일을 업로드, 다운로드 및 실행하기 위한 내장 명령이 있습니다.
OopsIE - C2 서버에서 피해자의 컴퓨터로 파일을 다운로드할 수 있습니다.
Dream Job 작전 - Lazarus Group은 손상된 호스트에 다단계 맬웨어와 도구를 다운로드했습니다.
Operation Honeybee - 위협 행위자는 손상된 호스트에 추가 맬웨어 및 악성 스크립트를 다운로드했습니다.
Operation Sharpshooter - 타겟이 1단계 다운로더에 감염된 후 추가 페이로드가 다운로드되었습니다.
Operation Wocao - 위협 행위자는 감염된 시스템에 추가 파일을 다운로드했습니다.
Orz - 피해자에게 파일을 다운로드할 수 있습니다.
OSX/Shlayer - 페이로드를 다운로드하고 파일에서 바이트를 추출할 수 있으며, 악성 페이로드를 임시 디렉토리에 다운로드합니다.
OSX_OCEANLOTUS.D - 피해자의 머신에 파일을 다운로드하고 실행하는 명령이 있습니다.
OutSteel - C2 서버에서 파일을 다운로드할 수 있습니다.
PAS 웹쉘 - 손상된 호스트에서 파일을 업로드 및 다운로드할 수 있습니다.
P8RAT - 대상 시스템에 추가 페이로드를 다운로드할 수 있습니다.
Pandora - 피해자 컴퓨터에 추가 드라이버와 파일을 로드할 수 있습니다.
Pasam - 원격 공격자가 파일을 업로드할 수 있는 백도어를 생성합니다.
패치워크 - C2 서버에서 추가 파일을 다운로드합니다.
Penquin - C2에서 원격 파일을 검색하기 위해 명령 코드를 실행할 수 있습니다.
Peppy - 원격 파일을 다운로드하고 실행할 수 있습니다.
PipeMon - C2 명령을 통해 추가 모듈을 설치할 수 있습니다.
Pisloader - 피해자 컴퓨터에 파일을 업로드하는 명령이 있습니다.
원고인 - 추가 플러그인을 다운로드하여 실행했습니다.
PLATINUM - Intel® Active Management Technology(AMT) Serial-over-LAN(SOL) 채널을 사용하여 파일을 전송했습니다.
Play - Cobalt Strike를 사용하여 손상된 시스템에 파일을 다운로드했습니다.
PLEAD - 감염된 호스트에 파일을 업로드하고 다운로드할 수 있는 기능을 가지고 있습니다.
PlugX - 손상된 컴퓨터에서 파일을 다운로드하고 실행하는 모듈이 있습니다.
PoetRAT - FTP 및 HTTPS를 사용하여 C2 채널에 파일을 복사하고 다운로드/업로드하는 기능을 갖추고 있습니다.
PoisonIvy - 원격 공격자가 파일을 업로드할 수 있는 백도어를 생성합니다.
PolyglotDuke - C2 서버에서 페이로드를 검색할 수 있습니다.
포니 - 감염된 시스템에 추가 파일을 다운로드할 수 있습니다.
POSHSPY - 추가 PowerShell 코드와 Windows 바이너리를 다운로드하고 실행합니다.
PowerDuke - 파일을 다운로드하는 명령이 있습니다.
PowerLess - 손상된 호스트에 추가 페이로드를 다운로드할 수 있습니다.
PowerPunch - 적대적인 인프라에서 페이로드를 다운로드할 수 있습니다.
POWERSOURCE - 피해자에게 TEXTMATE와 Cobalt Strike Beacon 페이로드를 다운로드하는 데 사용되었습니다.
POWERSTATS - C2 서버에서 추가 PowerShell 페이로드를 검색하여 실행할 수 있습니다.
POWRUNER - C2 서버에서 파일을 다운로드하거나 업로드할 수 있습니다.
CostaBricks - 손상된 호스트에 추가 페이로드를 다운로드할 수 있습니다.
Psylo - C2 서버에서 시스템으로 파일을 다운로드하는 명령이 있습니다.
Pteranodon - 추가 파일을 다운로드하여 실행할 수 있습니다.
PUNCHBUGGY - 손상된 호스트에 추가 파일과 페이로드를 다운로드할 수 있습니다.
Pupy - 피해자의 컴퓨터에 업로드 및 다운로드할 수 있습니다.
QakBot - 추가 구성 요소 및 맬웨어를 다운로드할 수 있는 기능이 있습니다.
QuasarRAT - 피해자의 컴퓨터에 파일을 다운로드하여 실행할 수 있습니다.
QuietSieve - 대상 호스트에서 페이로드를 다운로드하고 실행할 수 있습니다.
Raccoon Stealer - 다양한 데이터 저장소 및 구조와의 상호 작용을 가능하게 하는 다양한 라이브러리 파일을 다운로드하여 후속 정보 도용을 용이하게 합니다.
RainyDay - 손상된 호스트에 파일을 다운로드할 수 있습니다.
Rancor - certutil 등을 사용하여 추가 맬웨어를 다운로드했습니다.
RARSTONE - C2 서버에서 백도어 구성 요소를 다운로드하여 메모리에 직접 로드합니다.
Raspberry Robin - msiexec.exe 남용이나 curl 명령을 실행하여 페이로드를 피해자의 폴더로 다운로드합니다.
RATANKBA - 정보를 업로드하고 다운로드합니다.
RCSession - 감염된 컴퓨터에 추가 파일을 삭제하는 기능이 있습니다.
RDAT - DNS를 통해 파일을 다운로드할 수 있습니다.
RedLeaves - 지정된 URL에서 파일을 다운로드할 수 있습니다.
RegDuke - C2에서 파일을 다운로드할 수 있습니다.
Remcos - 피해자의 컴퓨터에 파일을 업로드하거나 다운로드할 수 있습니다.
RemoteCMD - 실행 전에 파일을 원격 시스템에 복사합니다.
RemoteUtilities - 대상 컴퓨터에 파일을 업로드하거나 다운로드할 수 있습니다.
Remsec - 원격 공격자로부터 실행 가능한 모듈을 수신하고 로컬 피해자에서 실행하는 네트워크 로더가 포함되어 있습니다.
Revenge RAT - 파일을 업로드하고 다운로드하는 기능이 있습니다.
REvil - 공격자가 제어하는 IP 주소에서 자체 사본을 피해자의 컴퓨터로 다운로드할 수 있습니다.
RGDoor - 피해자의 컴퓨터에 파일을 업로드하고 다운로드합니다.
Rocke - 맬웨어를 사용하여 대상 시스템에 추가 악성 파일을 다운로드했습니다.
RogueRobin - C2 서버에서 시스템에 새 파일을 저장할 수 있습니다.
ROKRAT - C2 서버에서 추가 악성 페이로드를 검색할 수 있습니다.
RTM - 추가 파일을 다운로드할 수 있습니다.
S-Type - 손상된 호스트에 추가 파일을 다운로드할 수 있습니다.
Saint Bot - 손상된 호스트에 추가 파일을 다운로드할 수 있습니다.
Sakula - 파일을 다운로드하는 기능이 있습니다.
사무라이 - 다른 맬웨어를 배포하는 데 사용되었습니다.
Sandworm Team - 사용자 자격 증명을 훔치고, 측면 이동하고, 데이터를 파괴하기 위해 감염된 시스템에 추가적인 악성 도구를 밀어넣었습니다.
Sardonic - 손상된 시스템에 추가 악성 파일을 업로드할 수 있는 기능을 가지고 있습니다.
SDBbot - C2에서 손상된 호스트로 DLL을 다운로드할 수 있는 기능을 가지고 있습니다.
SeaDuke - 파일을 업로드하고 다운로드할 수 있습니다.
Seasalt - 추가 파일을 다운로드하는 명령이 있습니다.
SEASHARPEE - 원격 파일을 피해자에게 다운로드할 수 있습니다.
ServHelper - 실행을 위해 추가 파일을 다운로드할 수 있습니다.
Seth-Locker - 손상된 호스트에서 파일을 다운로드하고 실행할 수 있는 기능을 가지고 있습니다.
ShadowPad - C2 서버에서 코드를 다운로드했습니다.
Shamoon - 피해자에서 실행할 실행 파일을 다운로드할 수 있습니다.
Shark - HTTP 또는 DNS를 통해 C2에서 추가 파일을 다운로드할 수 있습니다.
SharpDisco - 외부 소스에서 Python 인터프리터와 기타 플러그인을 다운로드하는 데 사용되었습니다.
SharpStage - DropBox API를 통해 추가 페이로드를 다운로드하고 실행할 수 있는 기능을 갖추고 있습니다.
SHARPSTATS - 파일을 업로드하고 다운로드하는 기능이 있습니다.
ShimRat - 추가 파일을 다운로드할 수 있습니다.
ShimRatReporter - 추가 페이로드를 다운로드할 수 있는 기능을 가지고 있습니다.
SHUTTERSPEED - 임의의 실행 파일을 다운로드하여 실행할 수 있습니다.
Sibot - 손상된 시스템에 페이로드를 다운로드하고 실행할 수 있습니다.
SideCopy - 악성 페이로드를 다운로드하기 위해 행위자 제어 서버에 연락하는 스피어피싱 이메일을 통해 트로이 목마화된 실행 파일을 전달했습니다.
SideTwist - 추가 파일을 다운로드하는 기능이 있습니다.
Sidewinder - LNK 파일을 사용하여 피해자의 네트워크에 원격 파일을 다운로드했습니다.
Silence - 피해자의 컴퓨터에 추가 모듈과 맬웨어를 다운로드했습니다.
SILENTTRINITY - Mimikatz를 포함한 추가 파일 및 도구를 로드할 수 있습니다.
Skidmap - 감염된 호스트에서 파일을 다운로드하는 기능이 있습니다.
RAPIDPULSE - 손상된 호스트와 파일을 주고받을 수 있습니다.
Sliver - C2 서버에서 피해자 컴퓨터로 파일을 업로드할 수 있습니다.
SLOTHFULMEDIA - 피해자의 컴퓨터에 파일을 다운로드했습니다.
SLOWDRIFT - 추가 페이로드를 다운로드합니다.
Small Sieve - 파일을 다운로드하는 기능이 있습니다.
Smoke Loader - 설치 후 새 버전을 다운로드하며 추가 플러그인도 다운로드합니다.
SMOKEDHAM - Powershell을 사용하여 타사 파일 공유 사이트에서 UltraVNC 및 ngrok을 다운로드했습니다.
Snip3 - 손상된 시스템에 추가 페이로드를 다운로드할 수 있습니다.
SocGholish - 감염된 호스트에 추가 맬웨어를 다운로드할 수 있습니다.
SodaMaster - C2에서 대상 시스템으로 추가 페이로드를 다운로드할 수 있는 기능을 갖추고 있습니다.
SolarWinds 침해 - APT29는 초기 액세스 후 손상된 호스트에 TEARDROP 및 Cobalt Strike와 같은 추가 맬웨어를 다운로드했습니다.
SombRAT - 추가 페이로드를 다운로드하고 실행할 수 있는 기능이 있습니다.
SoreFang - C2에서 추가 페이로드를 다운로드할 수 있습니다.
SpeakUp - 원격 서버에서 추가 파일을 다운로드하고 실행합니다.
Spica - 손상된 호스트에서 파일을 업로드 및 다운로드할 수 있습니다.
SpicyOmelette - 위협 행위자가 제어하는 AWS URL에서 악성 파일을 다운로드할 수 있습니다.
SQLRat - 공격자가 제어하는 Microsoft 데이터베이스에 직접 SQL 연결을 만들고 항목을 검색한 다음 디스크에 있는 파일을 쓰고 실행할 수 있습니다.
Squirrelwaffle - 추가로 인코딩된 페이로드를 다운로드하여 실행했습니다.
STEADYPULSE - 추가 Perl 모듈을 가져오기 위해 대상 서버의 Perl 스크립트에 줄을 추가할 수 있습니다.
StoneDrill - 스크립트를 포함하는 임시 파일을 다운로드하여 삭제했으며, 피해자의 컴퓨터에서 파일을 업로드하는 기능도 갖추고 있습니다.
StrifeWater - 업데이트 및 보조 모듈을 다운로드할 수 있습니다.
StrongPity - 지정된 대상에 파일을 다운로드할 수 있습니다.
SUNBURST - 다양한 탑재물을 전달했습니다.
SVCReady - 감염된 호스트에 RedLine Stealer와 같은 추가 도구를 다운로드할 수 있는 기능을 가지고 있습니다.
SysUpdate - 손상된 호스트에 파일을 다운로드하는 기능이 있습니다.
TA2541 - 추가 페이로드를 다운로드할 수 있는 악성 스크립트와 매크로를 사용했습니다.
TA505 - 피해자 시스템에서 실행하기 위해 추가 맬웨어를 다운로드했습니다.
TA551 - C2에서 맬웨어 실행을 위한 DLL 및 설치 프로그램 바이너리를 검색했습니다.
Taidoor - 손상된 호스트에 추가 파일을 다운로드했습니다.
TAINTEDSCRIBE - C2 서버에서 추가 모듈을 다운로드할 수 있습니다.
TDTESS - 추가 파일을 다운로드하고 실행하는 명령이 있습니다.
TeamTNT - 새로운 도구를 다운로드하기 위한 명령과 일괄 처리 스크립트가 있습니다.
ThiefQuest - 메모리 또는 디스크에서 페이로드를 다운로드하고 실행할 수 있습니다.
위협 그룹 3390 - certutil을 사용하여 손상된 호스트에 추가 맬웨어 및 도구를 다운로드했습니다.
ThreatNeedle - 측면 이동을 가능하게 하기 위해 추가 도구를 다운로드할 수 있습니다.
TinyTurla - 시스템을 추가 맬웨어로 감염시키는 데 사용되는 2단계 드로퍼 역할을 할 수 있습니다.
Tomiris - 파일을 다운로드하여 피해자의 시스템에서 실행할 수 있습니다.
Tonto Team - ShadowPad 로더 역할을 하는 악성 DLL을 다운로드했습니다.
TrickBot - 여러 개의 추가 파일을 다운로드하여 피해자의 컴퓨터에 저장합니다.
Trojan.Karagany - 피해자에게 파일을 업로드, 다운로드 및 실행할 수 있습니다.
Tropic Trooper - 전달된 트로이 목마를 사용하여 추가 파일을 다운로드했습니다.
TSCookie - 감염된 호스트에 파일을 업로드하고 다운로드할 수 있는 기능을 가지고 있습니다.
Turian - C2에서 추가 파일과 도구를 다운로드할 수 있습니다.
Turla - 피해자를 손상시킨 후 셸코드를 사용하여 Meterpreter를 다운로드했습니다.
TURNEDUP - 추가 파일을 다운로드할 수 있습니다.
TYPEFRAME - 피해자의 컴퓨터에 파일을 업로드하고 다운로드할 수 있습니다.
UBoatRAT - 피해자의 컴퓨터에 파일을 업로드하고 다운로드할 수 있습니다.
알 수 없는 로거 - 원격 파일을 다운로드할 수 있습니다.
UPPERCUT - 피해자의 컴퓨터에서 파일을 다운로드하고 업로드할 수 있습니다.
Uroburos - Put 명령을 사용하여 감염된 컴퓨터에 파일을 쓸 수 있습니다.
Ursnif - 페이로드와 구성 파일을 디스크에 삭제하고, 추가 페이로드를 다운로드하고 실행하는 데 사용되었습니다.
Valak - IcedID 및 NetSupport Manager RAT 기반 맬웨어를 포함하여 다양한 모듈과 페이로드를 손상된 호스트에 다운로드했습니다.
VaporRage - 손상된 시스템에 악성 셸코드를 다운로드할 수 있는 기능을 가지고 있습니다.
Vasport - 파일을 다운로드할 수 있습니다.
VBShower - VBS 파일을 대상 컴퓨터로 다운로드하는 기능을 가지고 있습니다.
VERMIN - 피해자의 컴퓨터에 파일을 다운로드하고 업로드할 수 있습니다.
Volatile Cedar - 추가 도구를 배포할 수 있습니다.
Volgmer - 원격 파일과 추가 페이로드를 피해자의 컴퓨터에 다운로드할 수 있습니다.
Volt Typhoon - 비표준 폴더의 손상된 도메인 컨트롤러에 comsvcs.dll의 오래된 버전을 다운로드했습니다.
WarzoneRAT - 추가 파일을 다운로드하고 실행할 수 있습니다.
Water Curupira Pikabot Distribution - Curl.exe를 사용하여 외부 서버에서 Pikabot 페이로드를 다운로드하고 해당 파일을 피해자 컴퓨터의 임시 디렉토리에 저장했습니다.
Waterbear - 원격 C2 서버에서 실행 파일을 수신하고 로드할 수 있습니다.
WEBC2 - 파일을 다운로드하고 실행할 수 있습니다.
WellMail - C2에서 데이터와 실행 가능한 스크립트를 수신할 수 있습니다.
WellMess - 손상된 호스트에 파일을 쓸 수 있습니다.
WhisperGate - Discord CDN 채널에서 추가 단계의 맬웨어를 다운로드할 수 있습니다.
Whitefly - C2에서 추가 도구를 다운로드할 수 있는 기능을 가지고 있습니다.
Wiarp - 원격 공격자가 파일을 다운로드할 수 있는 백도어를 생성합니다.
Windshift - 도구를 사용하여 손상된 호스트에 추가 페이로드를 배포했습니다.
Linux용 Winnti - 감염된 호스트에서 원격 명령 실행, 파일 침출 및 Socks5 프록시를 위해 명령 및 제어(C2) 서버에서 직접 모듈을 배포하는 기능을 갖고 있습니다.
Windows용 Winnti - 타겟 시스템에 악성 페이로드를 배치할 수 있습니다.
Winnti Group - ff.exe라는 보조 프로그램을 감염된 컴퓨터에 다운로드했습니다.
Winter Vivern - 원격으로 호스팅된 페이로드를 검색하기 위한 예약된 작업을 생성하기 위해 PowerShell 스크립트를 실행했습니다.
WIREFIRE - 손상된 장치에 파일을 다운로드할 수 있는 기능을 가지고 있습니다.
WIRTE - 실행할 C2 서버에서 PowerShell 코드를 다운로드했습니다.
Wizard Spider - 랜섬웨어와 같은 악성 페이로드를 손상된 컴퓨터로 전송할 수 있습니다.
Woody RAT - C2 서버에서 파일을 다운로드할 수 있습니다.
Xbash - C2 서버에서 추가 악성 파일을 다운로드할 수 있습니다.
xCaon - 피해자의 컴퓨터에 파일을 다운로드하는 명령이 있습니다.
XCSSET - curl 명령을 사용하여 브라우저별 AppleScript 모듈을 다운로드합니다.
YAHOYAH - 메모리에서 실행되는 다른 파일을 다운로드하기 위해 HTTP GET 요청을 사용합니다.
Zebrocy - 피해자의 컴퓨터에서 실행할 추가 코드를 얻으며, 여기에는 보조 페이로드 다운로드가 포함됩니다.
ZeroT - 피해자에게 추가 페이로드를 다운로드할 수 있습니다.
Zeus Panda - 추가 맬웨어 플러그인 모듈을 다운로드하여 피해자의 컴퓨터에서 실행할 수 있습니다.
ZIPLINE - 손상된 시스템에 저장될 파일을 다운로드할 수 있습니다.
ZIRCONIUM - 손상된 호스트에 악성 파일을 다운로드하기 위해 도구를 사용했습니다.
ZLib - 파일을 다운로드하는 기능이 있습니다.
Zox - 손상된 시스템에 파일을 다운로드할 수 있습니다.
ZxShell - 원격 호스트에서 파일을 전송하는 명령이 있습니다.
ZxxZ - 추가 파일을 다운로드하여 실행할 수 있습니다.
완화책
네트워크 침입 방지
FTP와 같은 알려진 프로토콜을 통한 특정 적대적 맬웨어 또는 비정상적인 데이터 전송에 대한 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템은 네트워크 수준에서 활동을 완화하는 데 사용할 수 있습니다. 시그니처는 종종 프로토콜 내의 고유한 지표를 위한 것이며 특정 적대자 또는 도구에서 사용하는 특정 난독화 기술을 기반으로 할 수 있으며 다양한 맬웨어 패밀리 및 버전에서 다를 가능성이 높습니다. 적대자는 시간이 지남에 따라 도구 C2 시그니처를 변경하거나 일반적인 방어 도구에 의한 탐지를 피하는 방식으로 프로토콜을 구성할 가능성이 높습니다.
발견
명령
-명령 실행
외부 콘텐츠 다운로드와 연관된 의심스러운 활동이 있는지 실행된 명령과 인수를 모니터링합니다.
파일
- 파일 생성
파일 생성 및 네트워크로 전송되는 파일을 모니터링합니다.
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링하거나 시스템에서 파일을 만드는 것은 의심스러울 수 있습니다. FTP와 같이 일반적으로 발생하지 않는 유틸리티를 사용하는 것도 의심스러울 수 있습니다.
-네트워크 트래픽 콘텐츠
파일 및 기타 잠재적으로 악성인 콘텐츠, 특히 비정상적이거나 알려지지 않은 도메인 및 IP에서 유입되는 데이터에 대한 네트워크 트래픽 콘텐츠를 모니터링합니다.
- 네트웤크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름(예: 클라이언트가 서버에서 수신하는 것보다 훨씬 많은 데이터를 보내는 경우)을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
다단계 채널
적대자는 서로 다른 조건이나 특정 기능을 위해 사용되는 명령 및 제어를 위한 여러 단계를 만들 수 있습니다. 여러 단계를 사용하면 명령 및 제어 채널이 흐릿해져 탐지가 더 어려워질 수 있습니다.
원격 액세스 도구는 지침을 위해 1단계 명령 및 제어 서버로 다시 호출합니다. 1단계는 기본 호스트 정보를 수집하고, 도구를 업데이트하고, 추가 파일을 업로드하는 자동화된 기능을 가질 수 있습니다. 그 시점에 2단계 원격 액세스 도구(RAT)를 업로드하여 호스트를 2단계 명령 및 제어 서버로 리디렉션할 수 있습니다. 2단계는 보다 완전한 기능을 갖추고 적대자가 역방향 셸과 추가 RAT 기능을 통해 시스템과 상호 작용할 수 있게 할 가능성이 높습니다.
각 단계는 중복되는 인프라 없이 별도로 호스팅될 가능성이 높습니다. 로더는 원래의 1단계 통신 경로가 발견되어 차단되는 경우 백업 1단계 콜백 또는 폴백 채널을 가질 수도 있습니다.
절차
APT3 - 다운로더는 먼저 TCP 포트 1913을 사용하여 192.157.198[.]103에 대한 SOCKS5 연결을 설정합니다. 서버 응답이 확인되면 TCP 포트 81에서 192.184.60[.]229에 대한 연결을 요청합니다.
APT41 - APT41은 storescyncsvc.dll BEACON 백도어를 사용하여 보조 백도어를 다운로드했습니다.
BACKSPACE - 맬웨어와 "더 큰 소리로" 상호 작용을 수행하는 2단계 서버에 연결해야 하는지 여부를 결정하기 위해 1단계 명령 및 제어 서버를 확인하여 감지를 피하려고 시도합니다.
Bazar - Bazar 로더는 Bazar 백도어를 다운로드하고 실행하는 데 사용됩니다.
BLACKCOFFEE - Microsoft의 TechNet 웹 포털을 사용하여 명령 및 제어 서버의 IP 주소가 포함된 인코딩된 태그를 얻은 다음 C2를 위해 해당 IP 주소와 별도로 통신합니다. C2 서버가 발견되거나 종료되면 위협 행위자는 TechNet에서 인코딩된 IP 주소를 업데이트하여 피해자의 컴퓨터에 대한 제어를 유지할 수 있습니다.
Chaos - 초기 손상 후, Chaos는 영향을 받는 시스템에 보다 영구적인 존재감을 확립하기 위해 두 번째 단계를 다운로드합니다.
Latrodectus - 1계층 노드가 피해자에 연결되고 2계층 노드가 백엔드 인프라에 연결되는 2계층 C2 구성을 사용했습니다.
Lazarus Group - 이후 단계를 별도의 프로세스에 주입하는 다단계 맬웨어 구성 요소를 사용했습니다.
LunarWeb - 첫 번째 접촉을 위해 하나의 C2 URL을 사용하고, 호스트 컴퓨터에 대한 정보를 업로드하고 명령을 받기 위해 두 개의 추가 C2 URL을 사용할 수 있습니다.
MuddyWater - 열거 스크립트를 얻고 웹 로그를 모니터링하기 위해 하나의 C2를 사용했지만, 데이터를 다시 보내기 위해 다른 C2를 사용했습니다.
Snip3 - 별도의 통신 채널을 통해 추가 페이로드 및 모듈을 다운로드하고 실행할 수 있습니다.
Uroburos - 개별 Uroburos 임플란트는 사용 가능한 4가지 작동 모드 중 하나를 기반으로 여러 통신 채널을 사용할 수 있습니다.
Valak - 별도의 C2 채널을 사용할 수 있는 추가 모듈과 맬웨어를 다운로드할 수 있습니다.
완화책
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
비 애플리케이션 계층 프로토콜
적대자는 호스트와 C2 서버 간 또는 네트워크 내의 감염된 호스트 간 통신을 위해 OSI 비애플리케이션 계층 프로토콜을 사용할 수 있습니다. 가능한 프로토콜 목록은 광범위합니다. 구체적인 예로는 ICMP(Internet Control Message Protocol)와 같은 네트워크 계층 프로토콜, UDP(User Datagram Protocol)와 같은 전송 계층 프로토콜, SOCKS(Socket Secure)와 같은 세션 계층 프로토콜, SOL(Serial over LAN)과 같은 리디렉션/터널링 프로토콜 사용이 있습니다.
호스트 간 ICMP 통신은 한 예입니다. ICMP는 인터넷 프로토콜 모음의 일부이므로 모든 IP 호환 호스트에서 구현해야 합니다. 그러나 TCP나 UDP와 같은 다른 인터넷 프로토콜만큼 일반적으로 모니터링되지 않으며 적대자가 통신을 숨기는 데 사용될 수 있습니다.
절차
2022년 우크라이나 전력 공격 - Sandworm Team은 TLS 기반 터널 내에서 C2 통신을 프록시했습니다.
Anchor - C2 통신에서 ICMP를 사용했습니다.
APT3 - 다운로더는 초기 C2에 대해 SOCKS5 연결을 설정합니다.
Aria-body - C2 통신에 TCP를 사용했습니다.
AuTo Stealer - TCP를 사용하여 명령 및 제어 서버와 통신할 수 있습니다.
BackdoorDiplomacy - SOCKS5 서버 및 포트 전송 기능을 사용하여 네트워크 터널링을 위해 EarthWorm을 사용했습니다.
Bandook - 원시 TCP 소켓을 사용하기 위한 명령이 내장되어 있습니다.
Bisonal - 네트워크 통신을 위해 원시 소켓을 사용했습니다.
BITTER - C2 통신에 TCP를 사용했습니다.
Brute Ratel C4 - 외부 C2에 대해 TCP를 사용할 수 있는 기능을 가지고 있습니다.
BUBBLEWRAP - SOCKS를 사용하여 통신할 수 있습니다.
C0021 - C0021 동안 위협 행위자는 일부 C2 통신에 TCP를 사용했습니다.
Carbon - C2에 TCP와 UDP를 사용합니다.
Clambling - 통신을 위해 TCP 및 UDP를 사용할 수 있는 기능을 가지고 있습니다.
COATHANGER - 명령 및 제어 서버와 구성 정보를 전송하기 위해 ICMP를 사용합니다.
Cobalt Strike - C2 통신에 TCP, ICMP 및 UDP를 사용하도록 구성할 수 있습니다.
Crimson - C2에 대해 사용자 지정 TCP 프로토콜을 사용합니다.
Cryptoistic - C2와 통신에 TCP를 사용할 수 있습니다.
Cuckoo Stealer - 소켓을 사용하여 C2 서버와 통신할 수 있습니다.
Cutting Edge - 명령 및 제어 통신을 위해 Unix 소켓과 역방향 TCP 셸을 사용했습니다.
Derusbi - C2의 경우 31800과 31900 사이의 임의 소스 포트에 있는 원시 소켓에 바인딩합니다.
Drovorub - TCP를 사용하여 에이전트와 클라이언트 모듈 간 통신할 수 있습니다.
Ember Bear - NetCat 및 Go Simple Tunnel(GOST)과 같은 소켓 기반 터널링 유틸리티를 사용합니다.
FakeM - 일부 변형은 SSL을 사용하여 C2 서버와 통신합니다.
FIN6 - Metasploit Bind 및 Reverse TCP 스테이저를 사용했습니다.
FRP - TCP, TCP 스트림 다중화, KERN 통신 프로토콜(KCP), QUIC 및 UDP를 통해 통신할 수 있습니다.
FunnyDream - TCP 및 UDP를 통해 C2와 통신할 수 있습니다.
Gelsemium - C2 통신에서 TCP 및 UDP를 사용할 수 있는 기능을 가지고 있습니다.
gh0st RAT - TCP 세그먼트 내에서 암호화된 프로토콜을 사용하여 C2와 통신했습니다.
HAFNIUM - C2에 TCP를 사용했습니다.
HiddenWasp - TCP를 통한 간단한 네트워크 프로토콜과 통신합니다.
InvisiMole - TCP를 사용하여 추가 모듈을 다운로드했습니다.
KEYPLUG - C2 통신을 위해 UDP를 통한 TCP 및 KCP(KERN 통신 프로토콜)를 사용할 수 있습니다.
KV Botnet 활동 - 명령 및 제어 트래픽은 비표준, 아마도 사용자 정의 프로토콜을 사용합니다.
LITTLELAMB.WOOLTEA - 소켓을 통해 통신하는 독립 실행형 백도어 역할을 할 수 있습니다.
LookBack - C2 통신을 위해 소켓을 통한 사용자 정의 바이너리 프로토콜을 사용합니다.
LunarMail - 하위 도메인의 피해자 머신 ID를 사용하여 특정 C2 URL을 ping할 수 있습니다.
MacMa - C&C 통신을 위해 맞춤형 JSON 기반 프로토콜을 사용했습니다.
Mafalda - C2에 원시 TCP를 사용할 수 있습니다.
Metador - C2에 TCP를 사용했습니다.
metaMain - C2 서버에 간접적이고 원시적인 TCP 소켓 기반 연결을 설정할 수 있습니다.
Metamorfo - C2에 원시 TCP를 사용했습니다.
Mis-Type - 잘못된 유형의 네트워크 트래픽은 원시 소켓을 통해 통신할 수 있습니다.
Misdat - 네트워크 트래픽은 원시 소켓을 통해 통신합니다.
MoonWind - 원시 소켓을 통해 네트워크 통신을 완료합니다.
Mythic - WebSocket 및 TCP 기반 C2 프로필을 지원합니다.
Nebulae - C2 통신에서 TCP를 사용할 수 있습니다.
NETEAGLE - 감염된 머신에 구성된 프록시를 감지하지 못하면 UDP/6000을 통해 비콘을 보냅니다.
NETWIRE - C2 통신에서 TCP를 사용할 수 있습니다.
닌자 - C2와 원격 호스트 사이에 TCP 패킷을 전달할 수 있습니다.
Operation Wocao - 명령 및 제어를 위해 맞춤 프로토콜을 사용했습니다.
OSX_OCEANLOTUS.D - C2 트래픽을 위해 포트 443을 통한 사용자 정의 바이너리 프로토콜을 사용했습니다.
Pay2Key - TCP를 통해 C2 서버로 공개 키를 보냈습니다.
Penquin - C2 메커니즘은 TCP 및 UDP 패킷을 기반으로 합니다.
PHOREAL - C2에 대해 ICMP를 통해 통신합니다.
PingPull - 변형은 ICMP 또는 TCP를 사용하여 C2 서버와 통신할 수 있는 기능을 가지고 있습니다.
PipeMon - TCP를 통한 TLS 기반 사용자 정의 프로토콜을 사용할 수 있습니다.
PLATINUM - 명령 및 제어를 위해 Intel® Active Management Technology(AMT) Serial-over-LAN(SOL) 채널을 사용했습니다.
PlugX - 명령 및 제어를 위해 원시 TCP 또는 UDP를 사용하도록 구성할 수 있습니다.
QakBot - TCP를 사용하여 C2 패킷을 보내거나 받을 수 있는 기능을 가지고 있습니다.
QuasarRAT - C2 통신에 TCP를 사용할 수 있습니다.
QUIETEXIT - C2에 대한 초기 연결의 일부로 TCP 연결을 설정할 수 있습니다.
RainyDay - C2 통신에서 TCP를 사용할 수 있습니다.
RARSTONE - SSL을 사용하여 C2 서버와의 통신을 암호화합니다.
RCSession - C2 통신에서 TCP 및 UDP를 사용할 수 있는 기능을 가지고 있습니다.
Reaver - 일부 변형은 C2에 원시 TCP를 사용합니다.
Regin - ICMP를 사용하여 감염된 컴퓨터 간 통신을 할 수 있습니다.
Remsec - C2에 ICMP, TCP 및 UDP를 사용할 수 있습니다.
RotaJakiro - TCP를 통해 유형, 길이, 값 형식을 사용하는 사용자 지정 바이너리 프로토콜을 사용합니다.
Royal - API를 사용하여 C2 통신을 위한 TCP 소켓을 설정합니다.
사무라이 - 프록시 모듈을 사용하여 TCP 패킷을 외부 호스트로 전달할 수 있습니다.
Sardonic - 사용자 정의 리틀 엔디언 바이너리 프로토콜을 사용하여 액터 제어 C2 서버와 통신할 수 있습니다.
SDBbot - 포트 443을 통해 TCP를 사용하여 C2와 통신할 수 있는 기능을 가지고 있습니다.
ShadowPad - C2 통신에 UDP를 사용했습니다.
SombRAT - TCP 소켓을 사용하여 데이터를 보내고 ICMP를 사용하여 C2 서버를 ping할 수 있는 기능을 가지고 있습니다.
Spica - C2 통신을 위해 WebSocket을 통한 JSON을 사용할 수 있습니다.
SUGARUSH - C2에 TCP를 사용했습니다.
Taidoor - C2 통신에 TCP를 사용할 수 있습니다.
ToddyCat - UDP 패킷을 통해 명령을 수신하는 수동 백도어를 사용했습니다.
TSCookie - ICMP를 사용하여 대상 서버에 대한 정보를 수신할 수 있습니다.
Umbreon - PAM을 사용하여 인증하는 SSH 또는 기타 프로토콜을 통해 시스템에 대한 액세스를 제공합니다.
Uroburos - 합법적인 프로토콜을 통해 별도의 세션을 사용하는 UDP, ICMP 및 TCP에 대한 사용자 정의 방법을 통해 통신할 수 있습니다.
Versa Director Zero Day Exploitation - 비표준 TCP 세션을 사용하여 HTTPS 명령 및 제어를 설정하기 전에 통신을 초기화했습니다.
WarzoneAT - 포트 5200을 통해 TCP를 통해 C2 서버와 통신할 수 있습니다.
WellMail - C2 통신에 TCP를 사용할 수 있습니다.
WINDSHIELD - C2 트래픽은 TCP 원시 소켓을 통해 통신할 수 있습니다.
Linux용 Winnti - 아웃바운드 통신에서 ICMP, 사용자 정의 TCP 및 UDP를 사용했습니다.
Windows용 Winnti - 사용자 정의 TCP를 사용하여 통신할 수 있습니다.
ZIPLINE - 사용자 정의 바이너리 프로토콜을 사용하여 C2와 통신할 수 있습니다.
완화책
네트워크 트래픽 필터링
네트워크 경계를 넘어 불필요한 프로토콜 사용을 방지하기 위해 네트워크 트래픽을 필터링합니다.
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
네트워크 세분화
방화벽과 프록시를 적절히 구성하여 나가는 트래픽을 필요한 포트와 적절한 네트워크 게이트웨이 시스템으로만 제한합니다. 또한 호스트가 승인된 인터페이스를 통해서만 통신하도록 프로비저닝되었는지 확인합니다.
발견
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
-네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
비표준 포트
적대자는 일반적으로 연관되지 않은 프로토콜 및 포트 페어링을 사용하여 통신할 수 있습니다. 예를 들어, 기존 포트 443 대신 포트 8088 또는 포트 587를통한 HTTPS가 있습니다. 적대자는 프로토콜에서 사용하는 표준 포트를 변경하여 네트워크 데이터의 필터링이나 분석/구문을 혼란스럽게 할 수 있습니다.
적대자는 비표준 포트를 남용하기 위해 피해자 시스템을 변경할 수도 있습니다. 예를 들어, 레지스트리 키와 기타 구성 설정을 사용하여 프로토콜 및 포트 쌍을 수정할 수 있습니다.
절차
APT-C-36 - C2 통신을 위해 포트 4050을 사용했습니다.
APT32 - 백도어는 백도어 구성에 지정된 비표준 TCP 포트(예: 14146)를 통해 HTTP를 사용할 수 있습니다.
APT33 - 명령 및 제어를 위해 TCP 포트 808 및 880을 통한 HTTP를 사용했습니다.
BADCALL - FakeTLS 방법을 사용하여 포트 443 및 8000에서 통신합니다.
Bankshot - HTTP 트래픽을 위해 포트 1058에서 바인딩하고 수신하는 동시에 FakeTLS 방식도 활용합니다.
BendyBear - C2의 포트 443을 통해 사용자 지정 RC4 및 XOR 암호화 프로토콜을 사용했습니다.
C0018 - C0018 동안 위협 행위자는 RDP 연결을 설정하기 위해 여러 포트를 열었습니다.
C0032 - TEMP.Veles는 C2 동안 여러 포트에서 포트 프로토콜 불일치를 사용했습니다.
Covenant - 수신기와 컨트롤러는 비표준 포트를 사용하도록 구성될 수 있습니다.
Cyclops Blink - 일반적으로 HTTP 또는 HTTPS 트래픽과 연관되지 않는 C2에 대해 비표준 포트를 사용할 수 있습니다.
DarkVishnya - 셸코드 리스너에 포트 5190 및 7900을 사용했고, 셸코드 C2에 포트 4444, 4445, 31337을 사용했습니다.
Derusbi - C2의 포트 443에서 암호화되지 않은 HTTP를 사용했습니다.
Ember Bear - C2 통신을 위해 다양한 비표준 포트를 사용했습니다.
Emotet - HTTP/S와 일반적으로 연관된 포트를 사용하는 것 외에도 여러 포트를 통한 HTTP를 사용했습니다.
FIN7 - C2 동안 여러 포트에서 포트 프로토콜 불일치를 사용했습니다.
GoldenSpy - 네트워크 트래픽을 위해 여러 포트를 통한 HTTP를 사용했습니다.
GravityRAT - TCP 포트 46769와 같은 비표준 포트를 통해 HTTP를 사용했습니다.
HARDRAIN - FakeTLS 메서드를 사용하여 포트 443에서 바인딩하고 수신합니다.
HOPLIGHT - FakeTLS 방법을 사용하여 TCP 포트 443을 통해 아웃바운드로 연결되었습니다.
KV Botnet 활동 - 후속 명령 및 제어 활동을 위해 임의 포트 번호를 생성합니다.
Lazarus Group - 일부 맬웨어는 C2 트래픽에 대한 포트를 선택하기 위해 정렬된 포트 번호 목록을 사용합니다.
MacMa - C2 통신을 위해 TCP 포트 5633을 사용했습니다.
Magic Hound - HTTP를 사용하여 TCP 포트 4443 및 10151을 통해 C2 서버와 통신했습니다.
Metamorfo - 포트 9999의 원시 TCP를 통해 호스트와 통신했습니다.
MoonWind - 원시 소켓을 통해 통신합니다.
njRAT - HTTP C2 통신에 포트 1177을 사용했습니다.
Operation Wocao - 백도어 C2에 비표준 높은 포트를 사용했습니다.
OSX_OCEANLOTUS.D - C2를 위한 TCP 포트 443을 통한 사용자 정의 바이너리 프로토콜을 사용했습니다.
Pikabot - HTTPS 명령 및 제어 통신을 위해 비표준 포트를 사용합니다.
PingPull - C2에 대해 포트 8080을 통한 HTTPS를 사용할 수 있습니다.
PoetRAT - 포트 143을 통한 통신을 암호화하기 위해 TLS를 사용했습니다.
QuasarRAT - TCP 콜백을 위해 포트 4782를 사용할 수 있습니다.
Raspberry Robin - 명령 및 제어 트래픽을 위해 포트 8080을 통한 HTTP를 통해 통신합니다.
RedLeaves - C2의 경우 비표준 포트를 통해 HTTP를 사용할 수 있습니다.
Rocke - 마이너는 포트 51640을 사용하여 C2 서버에 연결합니다.
RotaJakiro - TCP 포트 443을 통한 사용자 정의 바이너리 프로토콜을 사용합니다.
RTM - VNC 모듈에 포트 44443을 사용했습니다.
Sandworm Team - 그룹의 SSH 서버에서 연결을 허용하기 위해 포트 6789를 사용했습니다.
Sardonic - 포트 443을 통한 사용자 정의 바이너리 프로토콜을 사용하여 C2 서버에 연결할 수 있습니다.
Silence - 클라이언트에서 서버로 시스템에 대한 데이터를 전송할 때 포트 444를 사용했습니다.
StrongPity - C2 통신에서 포트 1402를 통한 HTTPS를 사용했습니다.
SUGARUSH - C2에 대한 TCP 연결을 위해 포트 4585를 사용했습니다.
TrickBot - 여러 개의 추가 파일을 다운로드하여 피해자의 컴퓨터에 저장합니다.
TYPEFRAME - FakeTLS 방법을 사용하여 여러 포트를 사용했습니다.
WellMail - 보안 명령 및 제어 통신을 위한 개방 포트를 활용했습니다.
WIRTE - C2에 대해 포트 2083 및 2087을 통한 HTTPS를 사용했습니다.
ZxShell - HTTP/S 통신에서 여러 포트를 사용할 수 있습니다.
완화책
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
네트워크 세분화
특정 네트워크 세그먼트에 필요한 포트로만 나가는 트래픽을 제한하도록 방화벽과 프록시를 올바르게 구성합니다.
발견
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
사용 중인 포트에 대한 예상 프로토콜 동작을 따르지 않는 통신을 감지하기 위해 패킷 내용을 분석합니다.
- 네트워크 트래픽 흐름
프로토콜과 사용 포트 간의 불일치를 나타낼 수 있는 예상치 못한 패턴과 메타데이터를 확인하기 위해 네트워크 데이터 흐름을 모니터링합니다.
프로토콜 터널링
적대자는 탐지/네트워크 필터링을 피하고/또는 그렇지 않으면 도달할 수 없는 시스템에 대한 액세스를 가능하게 하기 위해 별도의 프로토콜 내에서 피해자 시스템과의 네트워크 통신을 터널링할 수 있습니다. 터널링은 프로토콜을 다른 프로토콜 내에 명시적으로 캡슐화하는 것을 포함합니다. 이러한 동작은 기존 트래픽에 섞여 악성 트래픽을 숨기거나 외부 암호화 계층(VPN과 유사)을 제공할 수 있습니다. 터널링은 또한 SMB, RDP 또는 네트워크 어플라이언스에서 필터링되거나 인터넷을 통해 라우팅되지 않는 기타 트래픽과 같이 의도한 대상에 도달하지 못하는 네트워크 패킷의 라우팅을 가능하게 할 수 있습니다.
프로토콜을 다른 프로토콜 내에 캡슐화하는 다양한 수단이 있습니다. 예를 들어, 적대자는 암호화된 SSH 터널을 통해 임의의 데이터를 전달하는 SSH 터널링(SSH 포트 포워딩이라고도 함)을 수행할 수 있습니다.
프로토콜 터널링은 동적 해결 중에 적대자에 의해 남용될 수도 있습니다 . HTTPS(DoH)를 통한 DNS로 알려진 C2 인프라를 해결하기 위한 쿼리는 암호화된 HTTPS 패킷 내에 캡슐화될 수 있습니다.
적대자는 프록시 및/또는 프로토콜이나 서비스 사칭 과 함께 프로토콜 터널링을 활용하여 C2 통신과 인프라를 더욱 은폐할 수도 있습니다.
절차
2022년 우크라이나 전력 공격 - Sandworm Team은 GOGETTER 터널러 소프트웨어를 배포하여 외부 서버와 "Yamux" TLS 기반 C2 채널을 설정했습니다.
Brute Ratel C4 - C2에 대해 HTTPS를 통한 DNS를 사용할 수 있습니다.
C0027 - Scattered Spider는 대상 환경에서 SSH 터널링을 사용했습니다.
C0032 - TEMP.Veles는 암호화된 SSH 기반 PLINK 터널을 사용하여 도구를 전송하고 RDP 연결을 활성화했습니다.
Chimera - Cobalt Strike의 C2 프로토콜을 DNS 및 HTTPS에 캡슐화했습니다.
Cinnamon Tempest - Iox 및 NPS 프록시와 터널링 도구를 함께 사용하여 단일 터널을 통해 여러 연결을 생성했습니다.
Cobalt Group - Plink 유틸리티를 사용하여 SSH 터널을 생성했습니다.
Cobalt Strike - HTTP, HTTPS 또는 DNS에 캡슐화된 사용자 지정 명령 및 제어 프로토콜을 사용하며, SMB 프로토콜에 캡슐화된 Windows 명명된 파이프를 통해 피어투피어 통신을 수행합니다.
CostaRicto - 악성 도메인에서 피해자의 환경으로 원격 SSH 터널링을 설정했습니다.
Cutting Edge - Iodine을 사용하여 DNS를 통해 IPv4 트래픽을 터널링했습니다.
Cyclops Blink - HTTPS(DoH)를 통한 DNS를 사용하여 C2 노드를 확인할 수 있습니다.
Duqu - 일반적으로 사용되는 포트를 통해 통신하는 사용자 지정 명령 및 제어 프로토콜을 사용합니다.
Ember Bear - ProxyChains를 사용하여 프로토콜을 내부 네트워크로 터널링했습니다.
FIN13 - 손상된 자산과의 터널링 기능을 위해 웹 셸과 Java 도구를 활용했습니다.
FIN6 - Plink 명령줄 유틸리티를 사용하여 C2 서버에 대한 SSH 터널을 생성했습니다.
FLIPSIDE - RDP를 사용하여 피해자 환경에서 트래픽을 터널링합니다.
Fox Kitten - ngrok 및 맞춤 도구 SSHMinion과 같은 오픈 소스 도구를 사용하여 손상된 호스트에서 통신 및 RDP 활동을 위해 프로토콜 터널링을 사용했습니다.
FRP - 방화벽이나 NAT 뒤에 있는 외부 노드와 노출된 리소스 간의 TCP를 통해 SSH 및 Unix 도메인 소켓 통신을 터널링할 수 있습니다.
FunnyDream - TCP를 통해 HTTP 프록시에 연결하여 C2에 대한 터널을 생성할 수 있습니다.
Heyoka Backdoor - 스푸핑된 DNS 요청을 사용하여 손상된 호스트와 C2 서버 간에 양방향 터널을 생성할 수 있습니다.
Industroyer - 내부 프록시를 통해 HTTP CONNECT를 수행하여 터널을 설정하려고 시도합니다.
Kevin - DNS 또는 HTTP를 통해 터널링되는 사용자 정의 프로토콜을 사용할 수 있습니다.
Leviathan - 프로토콜 터널링을 사용하여 C2 통신 및 인프라를 더욱 은폐했습니다.
LunarWeb - C2를 위해 HTTPS에서 사용자 정의 바이너리 프로토콜을 실행할 수 있습니다.
Magic Hound - SSH를 통한 RDP 터널링을 위해 Plink를 사용했습니다.
Milan - DNS 또는 HTTP를 통해 터널링되는 사용자 지정 프로토콜을 사용할 수 있습니다.
Mythic - SOCKS 프록시를 사용하여 다른 프로토콜을 통해 트래픽을 터널링할 수 있습니다.
ngrok - 인터넷 연결을 통해 RDP 및 기타 서비스를 안전하게 터널링할 수 있습니다.
OilRig - Plink 유틸리티와 기타 도구를 사용하여 C2 서버로의 터널을 생성했습니다.
QakBot - 프록시 모듈 내에 SOCKS5 프로토콜을 캡슐화할 수 있습니다.
Uroburos - 원시 TCP 및 UDP 소켓, HTTP, SMTP 및 DNS를 비롯한 일반적인 네트워크 프로토콜을 기반으로 하는 사용자 지정 통신 방법을 통해 통신할 수 있는 기능을 갖추고 있습니다.
완화책
네트워크 트래픽 필터링
신뢰할 수 없거나 알려진 불량 도메인 및 리소스에 대한 네트워크 트래픽을 필터링하는 것을 고려하세요.
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
-네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
대리
공격자는 연결 프록시를 사용하여 시스템 간 네트워크 트래픽을 지시하거나 인프라에 대한 직접 연결을 피하기 위해 명령 및 제어 서버로의 네트워크 통신을 위한 중개자 역할을 할 수 있습니다.HTRAN , ZXProxy, ZXPortMap을 포함하여 프록시 또는 포트 리디렉션을 통한 트래픽 리디렉션을 가능하게 하는 많은 도구가 있습니다. [ 1] 공격자는 이러한 유형의 프록시를 사용하여 명령 및 제어 통신을 관리하고, 동시 아웃바운드 네트워크 연결 수를 줄이고, 연결 손실에 대비하여 복원력을 제공하거나, 피해자 간의 기존 신뢰할 수 있는 통신 경로를 타고 의심을 피합니다. 공격자는 여러 프록시를 연결하여 악성 트래픽의 출처를 더욱 위장할 수 있습니다.
공격자는 CDN(콘텐츠 전송 네트워크)의 라우팅 방식을 악용해 명령 및 제어 트래픽을 프록시할 수도 있습니다.
절차
APT41 - CLASSFON이라는 도구를 사용하여 네트워크 통신을 비밀리에 프록시했습니다.
Aria-body - 역방향 SOCKS 프록시 모듈을 사용할 수 있는 기능을 가지고 있습니다.
AuditCred - 통신을 위해 프록시를 활용할 수 있습니다.
BADCALL - 피해자와 C2 서버 사이의 프록시 서버 역할을 합니다.
BADHATCH - SOCKS4 및 SOCKS5 프록시를 사용하여 액터 제어 C2 서버에 연결할 수 있으며, 손상된 머신에서 역방향 프록시를 에뮬레이션합니다.
Bisonal - 프록시 서버 사용을 지원했습니다.
Blue Mockingbird - FRP, ssf 및 Venom을 사용하여 SOCKS 프록시 연결을 설정했습니다.
C0017 - APT41은 Cloudflare CDN을 사용하여 C2 트래픽을 프록시했습니다.
C0027 - Scattered Spider는 대상 ESXi 어플라이언스에 오픈 소스 rsocx 역방향 프록시 도구를 설치했습니다.
Cardinal RAT - 역방향 프록시 역할을 할 수 있습니다.
Cinnamon Tempest - Iox 포트 포워딩 및 프록시 도구의 사용자 지정 버전을 사용했습니다.
CopyKittens - 운영 활동을 위해 AirVPN 서비스를 사용했습니다.
Dridex - 피해자의 컴퓨터를 통해 네트워크 트래픽을 터널링하기 위한 백커넥트 모듈이 포함되어 있습니다.
Earth Lusca - 손상된 서버의 프록시로 Cloudflare를 채택했습니다.
Fox Kitten - FRPC 및 Go Proxy와 같은 오픈 소스 역방향 프록시 도구를 사용하여 C2에서 로컬 서버로 연결을 설정했습니다.
FRP - NAT 또는 방화벽 뒤에 있는 로컬 서버로 공용 IP 공간의 서버를 통해 통신을 프록시할 수 있습니다.
FunnyDream - 손상된 네트워크에서 구성된 프록시를 식별하여 C2 통신에 사용할 수 있습니다.
Heyoka Backdoor - 스푸핑된 DNS 요청을 사용하여 손상된 호스트와 C2 서버 간에 양방향 터널을 생성할 수 있습니다.
Industroyer - 내부 프록시를 통해 HTTP CONNECT를 수행하여 터널을 설정하려고 시도합니다.
Kevin - DNS 또는 HTTP를 통해 터널링되는 사용자 정의 프로토콜을 사용할 수 있습니다.
Leviathan - 프로토콜 터널링을 사용하여 C2 통신 및 인프라를 더욱 은폐했습니다.
LunarWeb - C2를 위해 HTTPS에서 사용자 정의 바이너리 프로토콜을 실행할 수 있습니다.
Magic Hound - RDP 트래픽에 대해 FRP(Fast Reverse Proxy)를 사용했습니다.
Milan - DNS 또는 HTTP를 통해 터널링되는 사용자 지정 프로토콜을 사용할 수 있습니다.
Mythic - SOCKS 프록시를 사용하여 다른 프로토콜을 통해 트래픽을 터널링할 수 있습니다.
ngrok - 인터넷 연결을 통해 RDP 및 기타 서비스를 안전하게 터널링할 수 있습니다.
OilRig - Plink 유틸리티와 기타 도구를 사용하여 C2 서버로의 터널을 생성했습니다.
QakBot - 프록시 모듈 내에 SOCKS5 프로토콜을 캡슐화할 수 있습니다.
Uroburos - 원시 TCP 및 UDP 소켓, HTTP, SMTP 및 DNS를 비롯한 일반적인 네트워크 프로토콜을 기반으로 하는 사용자 지정 통신 방법을 통해 통신할 수 있는 기능을 갖추고 있습니다.
완화책
네트워크 트래픽 필터링
알려진 익명 네트워크와 C2 인프라로의 트래픽은 네트워크 허용 및 차단 목록을 사용하여 차단할 수 있습니다. 이러한 종류의 차단은 Domain Fronting 과 같은 다른 기술로 우회할 수 있다는 점에 유의해야 합니다 .
네트워크 침입 방지
네트워크 시그니처를 사용하여 특정 적대적 맬웨어에 대한 트래픽을 식별하는 네트워크 침입 탐지 및 방지 시스템은 네트워크 수준에서 활동을 완화하는 데 사용할 수 있습니다. 시그니처는 종종 프로토콜 내의 고유한 지표를 위한 것이며 특정 적대자 또는 도구에서 사용하는 특정 C2 프로토콜을 기반으로 할 수 있으며 다양한 맬웨어 패밀리 및 버전에서 다를 가능성이 높습니다. 적대자는 시간이 지남에 따라 도구 C2 시그니처를 변경하거나 일반적인 방어 도구에 의한 탐지를 피하는 방식으로 프로토콜을 구성할 가능성이 높습니다.
SSL/TLS검사
HTTPS 트래픽을 검사할 수 있으면 도메인 프론팅으로 보이는 연결을 캡처하여 분석할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
-네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
-네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
원격 접속 소프트웨어
적대자는 합법적인 데스크톱 지원 및 원격 액세스 소프트웨어를 사용하여 네트워크 내의 대상 시스템에 대한 대화형 명령 및 제어 채널을 설정할 수 있습니다. 이러한 서비스(예: VNC, Team Viewer, AnyDesk, ScreenConnect, LogMein, AmmyyAdmin및 기타 원격 모니터링 및 관리(RMM) 도구)는 일반적으로 합법적인 기술 지원 소프트웨어로 사용되며 대상 환경 내의 애플리케이션 제어를 통해 허용될 수 있습니다.
원격 액세스 소프트웨어는 중복 액세스를 위한 대체 통신 채널 또는 대상 시스템과 대화형 원격 데스크톱 세션을 설정하는 방법으로 침해 후에 설치 및 사용될 수 있습니다. 또한 맬웨어의 구성 요소로 사용되어 서비스 또는 적대자가 제어하는 시스템에 대한 역방향 연결 또는 백커넥트를 설정할 수도 있습니다.
공격자는 EDR에 포함된 대응 기능과 원격 액세스를 가능하게 하는 기타 방어 도구도 마찬가지로 남용할 수 있습니다.
많은 원격 액세스 소프트웨어를 설치하는 데에는 지속성도 포함될 수 있습니다(예: 소프트웨어 설치 루틴은 Windows 서비스를 만듭니다 ). 원격 액세스 모듈/기능은 기존 소프트웨어의 일부로 존재할 수도 있습니다(예: Google Chrome의 원격 데스크톱).
절차
Akira - AnyDesk 및 PuTTy와 같은 합법적인 유틸리티를 사용하여 피해자 환경에 대한 원격 액세스를 유지합니다.
C0015 - C0015 동안 위협 행위자는 손상된 네트워크에 AnyDesk 원격 데스크톱 애플리케이션을 설치했습니다.
C0018 - C0018 동안 위협 행위자는 AnyDesk를 사용하여 시스템 간에 도구를 전송했습니다.
C0027 - C0027 동안 Scattered Spider는 피해자에게 원격 모니터링 및 관리(RMM) 도구를 실행하도록 지시했습니다.
Carbanak - VNC 및 Ammyy Admin Tool용 플러그인이 있습니다.
Carbanak - AmmyyAdmin 및 Team Viewer와 같은 합법적인 프로그램을 사용하여 대상 시스템에 대한 원격 대화형 C2를 수행했습니다.
Cobalt Group - Cobalt Strike 모듈이 손실된 경우 원격 액세스를 보존하는 것을 포함하여 원격 액세스를 위해 Ammyy Admin 도구와 TeamViewer를 사용했습니다.
DarkVishnya - 측면 이동을 위해 DameWare Mini Remote Control을 사용했습니다.
Dridex - VNC용 모듈이 포함되어 있습니다.
Egregor - 원격 컴퓨터의 파일을 암호화하려고 LogMein 이벤트 로그를 확인했습니다.
EVILNUM - 악성 소프트웨어 변종인 TerraTV를 사용하여 합법적인 TeamViewer 애플리케이션을 실행하여 손상된 시스템에 연결했습니다.
FIN7 - 원격 관리 도구인 Atera를 활용하여 손상된 시스템에 맬웨어를 다운로드했습니다.
GOLD SOUTHFIELD - 클라우드 기반 원격 관리 및 모니터링 도구인 "ConnectWise Control"을 사용하여 REvil을 배포했습니다.
Hildegard - C2 통신을 위한 tmate 세션을 설정했습니다.
Ember Bear - AnyDesk 및 PuTTY를 사용하여 손상된 시스템에서 원격 액세스를 유지했습니다.
Kimsuky - 수정된 TeamViewer 클라이언트를 명령 및 제어 채널로 사용했습니다.
MuddyWater - 합법적인 애플리케이션 ScreenConnect, AteraAgent 및 SimpleHelp를 사용하여 시스템을 원격으로 관리하고 측면 이동합니다.
Mustang Panda - 대상 시스템에 TeamViewer를 설치했습니다.
Night Dragon - 지속적인 침투 채널로 여러 원격 관리 도구를 사용했습니다.
RTM - C2에서 VNC 모듈을 다운로드하는 기능이 있습니다.
RTM - 원격 액세스를 위해 TeamViewer 및 Remote Utilities의 수정된 버전을 사용했습니다.
Sandworm Team - 원격 관리 도구나 원격 산업용 제어 시스템 클라이언트 소프트웨어를 실행하고 악의적으로 전기 차단기를 해제하는 데 사용했습니다.
Scattered Spider - 피해자에게 원격 모니터링 및 관리(RMM) 도구를 실행하도록 지시했습니다.
TeamTNT - C2 통신을 위한 tmate 세션을 구축했습니다.
Thrip - 공격에 LogMeIn이라는 클라우드 기반 원격 액세스 소프트웨어를 사용했습니다.
TrickBot - vncDll 모듈을 사용하여 피해자 컴퓨터를 원격 제어합니다.
완화책
기능 또는 프로그램 비활성화 또는 제거
승인되지 않은 소프트웨어 설치와 지원되는 애플리케이션에 내장된 특정 기능을 포함하여 불필요한 원격 연결 기능을 비활성화하는 것을 고려하세요.
실행 방지
애플리케이션 제어를 사용하여 원격 액세스에 사용될 수 있는 승인되지 않은 소프트웨어의 설치 및 사용을 완화합니다.
네트워크 트래픽 필터링
원격 액세스 소프트웨어에서 사용하는 사이트와 서비스로 나가는 트래픽을 제한하기 위해 방화벽, 애플리케이션 방화벽, 프록시를 올바르게 구성합니다.
네트워크 침입 방지
네트워크 서명을 사용하는 네트워크 침입 탐지 및 방지 시스템은 원격 액세스 서비스로의 트래픽을 차단할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
- 네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
프로세스
- 프로세스 생성
원격 관리 소프트웨어와 관련된 애플리케이션 및 프로세스를 모니터링합니다. 합법적인 사용자와 관리자가 이러한 유형의 소프트웨어를 사용하는 경우 거짓 양성을 줄일 수 있는 다른 의심스러운 동작과 활동을 연관시킵니다. 도메인 프론팅은 방어를 피하기 위해 함께 사용될 수 있습니다. 적대자는 손상된 시스템에 이러한 원격 소프트웨어를 배포 및/또는 설치해야 할 가능성이 높습니다. 호스트 기반 솔루션을 사용하면 이러한 유형의 소프트웨어 설치를 감지하거나 방지할 수 있습니다.
교통 신호
적대자는 트래픽 신호를 사용하여 지속성 또는 명령 및 제어에 사용되는 열린 포트나 기타 악성 기능을 숨길 수 있습니다.트래픽 신호는 닫힌 포트를 열거나 악성 작업을 실행하는 것과 같은 특수한 응답을 트리거하기 위해 시스템으로 보내야 하는 마법의 값이나 시퀀스를 사용하는 것을 포함합니다.이것은 적대자가 명령 및 제어에 사용할 수 있는 포트가 열리기 전에 특정 특성을 가진 일련의 패킷을 보내는 형태를 취할 수 있습니다.일반적으로 이러한 일련의 패킷은 미리 정의된 닫힌 포트 시퀀스(예: 포트 노킹 )에 대한 연결 시도로 구성되지만 비정상적인 플래그, 특정 문자열 또는 기타 고유한 특성이 포함될 수 있습니다.시퀀스가 완료된 후 호스트 기반 방화벽으로 포트를 열 수 있지만 사용자 지정 소프트웨어로 구현할 수도 있습니다.
공격자는 이미 열려 있는 포트와 통신할 수도 있지만, 해당 포트를 수신하는 서비스는 적절한 매직 값이 전달된 경우에만 명령에 응답하거나 다른 악성 기능을 트리거합니다.
통신을 트리거하기 위한 신호 패킷 관찰은 다양한 방법을 통해 수행될 수 있습니다. 원래 Cd00r에서 구현한 한 가지 방법은 libpcap 라이브러리를 사용하여 문제의 패킷을 스니핑하는 것입니다. 또 다른 방법은 원시 소켓을 활용하여 맬웨어가 다른 프로그램에서 사용할 수 있도록 이미 열려 있는 포트를 사용할 수 있도록 합니다.
네트워크 장치에서 적대자는 텔넷과 같이 장치에서 제공하는 표준 서비스에 대한 네트워크 장치 인증을 활성화하기 위해 정교하게 만들어진 패킷을 사용할 수 있습니다 . 이러한 신호는 텔넷과 같은 닫힌 서비스 포트를 열거나 장치의 맬웨어 임플란트의 모듈 수정을 트리거하여 악성 기능을 추가, 제거 또는 변경하는 데 사용될 수도 있습니다. 적대자는 정교하게 만들어진 패킷을 사용하여 하나 이상의(열려 있거나 닫힌) 포트에 연결을 시도할 수 있지만, 목표와 목적을 달성하기 위해 동일한 포트에서 라우터 인터페이스, 브로드캐스트 및 네트워크 주소 IP에 연결을 시도할 수도 있습니다. 임베디드 장치에서 이 트래픽 신호를 활성화하려면 적대자는 먼저 아키텍처의 모놀리식 특성으로 인해 패치 시스템 이미지를 달성하고 활용해야 합니다 . 적대자는 Wake-on-LAN 기능을 사용하여 전원이 꺼진 시스템을 켤 수도 있습니다. Wake-on-LAN은 전원이 꺼진 시스템에 마법 패킷을 보내 전원을 켜거나 깨울 수 있는 하드웨어 기능입니다. 시스템에 전원이 켜지면 측면 이동의 대상이 될 수 있습니다.
절차
BUSHWALK - Ivanti Connect Secure VPN의 Perl 모듈을 수정할 수 있으며, 들어오는 HTTP 요청의 사용자 에이전트 값에 따라 활성화하거나 비활성화할 수 있습니다.
Chaos - 특수 문자열이 포함된 패킷을 수신하면 역방향 셸이 트리거되고 모든 포트로 전송됩니다.
Cutting Edge - 위협 행위자는 소켓을 통해 PITSOCK 백도어가 통신할 수 있도록 48바이트의 마법 같은 시퀀스를 보냈습니다.
Kobalos - 특정 소스 포트에서 합법적인 서비스에 대한 들어오는 TCP 연결에 의해 트리거됩니다.
Pandora - 들어오는 HTTP 트래픽에 토큰이 포함되어 있는지 식별할 수 있으며, 그렇다면 트래픽을 가로채서 수신된 명령을 처리합니다.
Penquin - 특정 조건과 일치하는 TCP 또는 UDP 패킷의 "매직 패킷" 값을 스니핑한 후에만 C2에 연결합니다.
Ryuk - 측면 이동을 위해 꺼진 시스템에 전원을 공급하기 위해 Wake-on-Lan을 사용했습니다.
SYNful Knock - 특수 패킷을 통해 기능을 변경하기 위한 지침을 보낼 수 있으며, 이러한 메시지에는 새로운 기능에 대한 코드가 포함될 수 있습니다.
Umbreon - 특수 패킷을 수신하면 역방향 셸을 제공하는 백도어 Espeon을 사용하여 추가 액세스를 제공합니다.
Uroburos - 3방향 TCP 핸드셰이크에서 첫 번째 클라이언트-서버 패킷을 가로채어 패킷에 특정 Uroburos 임플란트에 대한 올바른 고유 값이 포함되어 있는지 확인합니다.
Linux용 Winnti - 작업을 실행하기 전에 특정 마법 값을 식별할 수 있는 수동 리스너를 보조 C2 메커니즘으로 사용했습니다.
ZIPLINE - 가로채는 네트워크 트래픽에서 특정 문자열을 식별하여 SSH-2.0-OpenSSH_0.3xx 명령 기능을 트리거할 수 있습니다.
완화책
기능 또는 프로그램 비활성화 또는 제거
환경에 따라 필요하지 않으면 Wake-on-LAN을 비활성화합니다.
네트워크 트래픽 필터링
이 기술의 일부 변형은 구현 방법에 따라 상태 저장 방화벽을 사용하여 완화할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
-네트워크 트래픽 콘텐츠
암호화된 트래픽에 대한 SSL/TLS 검사를 활용하여 예상 프로토콜 표준 및 트래픽 흐름(예: 설정된 흐름에 속하지 않는 외부 패킷, 프로토콜 포트 불일치, 비정상적인 구문 또는 구조)을 따르지 않는 애플리케이션 계층 프로토콜을 감지하기 위해 네트워크 패킷 내용을 모니터링하고 분석합니다. Wake-on-LAN 매직 패킷에 대한 패킷 검사를 고려합니다. 이 패킷은 FF대상 시스템의 IEEE 주소가 16번 반복된 6바이트로 구성됩니다. 패킷의 페이로드에서 이 문자열을 어디에서나 보면 Wake-on-LAN 시도를 나타낼 수 있습니다.
- 네트워크 트래픽 흐름
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷 또는 무의미하거나 비정상적인 트래픽 패턴)을 따르지 않는 프로토콜과 관련된 네트워크 흐름을 모니터링하고 분석합니다. 신뢰할 수 없는 호스트, 예상치 못한 하드웨어 장치 또는 기타 흔하지 않은 데이터 흐름에서 보내거나 받는 새로 구성된 네트워크 연결을 분석하는 것을 고려합니다.
프로세스
- 프로세스 생성
원시 소켓을 사용하여 실행 중인 프로세스를 식별합니다. 나열된 프로세스에 열린 원시 소켓이 필요하고 엔터프라이즈 정책에 따라야 합니다.
웹 서비스
적대자는 기존의 합법적인 외부 웹 서비스를 사용하여 손상된 시스템에 데이터를 전송하거나 시스템에서 데이터를 전송하는 수단으로 사용할 수 있습니다. C2를 위한 메커니즘으로 작동하는 인기 있는 웹사이트, 클라우드 서비스 및 소셜 미디어는 네트워크 내 호스트가 손상되기 전에 이미 통신하고 있을 가능성이 높기 때문에 상당한 양의 은폐를 제공할 수 있습니다. Google, Microsoft 또는 Twitter에서 제공하는 것과 같은 일반적인 서비스를 사용하면 적대자가 예상되는 노이즈에 숨을 수 있습니다. 웹 서비스 제공자는 일반적으로 SSL/TLS 암호화를 사용하여 적대자에게 추가 수준의 보호를 제공합니다.
웹 서비스를 사용하면 악성 소프트웨어 바이너리 분석을 통해 백엔드 C2 인프라가 발견되는 것을 방지할 수 있으며, 운영 회복력도 강화할 수 있습니다(이 인프라는 동적으로 변경될 수 있음).
절차
APT32 - Dropbox, Amazon S3 및 Google Drive를 사용하여 악성 다운로드를 호스팅했습니다.
APT41 DUST - 명령 및 제어를 위해 손상된 Google Workspace 계정을 사용했습니다.
BADHATCH - sslip.io를 사용하여 무료 IP 대 도메인 매핑 서비스를 남용하는 데 사용될 수 있습니다.
Bazar - Bazar 다운로드는 Google Docs에 호스팅되었습니다.
BoomBox - 하드코딩된 액세스 토큰을 사용하여 Dropbox에서 파일을 다운로드할 수 있습니다.
Brute Ratel C4 - Slack, Discord, MS Teams를 포함한 외부 C2 채널에 합법적인 웹사이트를 사용할 수 있습니다.
Bumblebee - OneDrive에서 피해자의 컴퓨터로 다운로드되었습니다.
C0017 - APT41은 C2 통신을 위해 Cloudflare 서비스를 사용했습니다.
C0027 - Scattered Spider는 file.io, GitHub, paste.ee 등에서 도구를 다운로드했습니다.
Carbon - Pastebin을 사용하여 C2 명령을 수신할 수 있습니다.
CharmPower - 액터 제어 Amazon S3 버킷에서 추가 모듈을 다운로드할 수 있습니다.
CHIMNEYSWEEP - Telegram 채널을 사용하여 실행할 명령 목록을 반환하고 추가 페이로드를 다운로드할 수 있는 기능을 가지고 있습니다.
DarkTortilla - Pastebin 및 Textbin과 같은 공개 사이트에서 기본 페이로드를 검색할 수 있습니다.
Doki - dogechain.info API를 사용하여 C2 주소를 생성했습니다.
DropBook - Simplenote, Dropbox 및 Facebook을 활용하여 운영자와 통신할 수 있습니다.
EXOTIC LILY - WeTransfer, TransferNow 및 OneDrive를 포함한 파일 공유 서비스를 사용하여 페이로드를 전달했습니다.
FIN6 - Pastebin과 Google Storage를 사용하여 운영에 필요한 콘텐츠를 호스팅했습니다.
FIN8 - sslip.io를 사용하여 트래픽 암호화를 위한 SSL 인증서 생성을 보다 쉽게 만드는 무료 IP 대 도메인 매핑 서비스를 사용했습니다.
Fox Kitten - Amazon Web Services를 사용하여 C2를 호스팅했습니다.
Gamaredon Group - 손상된 시스템에서 그룹의 .NET 실행 파일을 통해 다운로더를 위해 GitHub 저장소를 사용했습니다.
GuLoader - Google Drive에서 맬웨어를 다운로드하는 기능을 가지고 있습니다.
Hildegard - GitHub에서 스크립트를 다운로드했습니다.
Inception - CloudMe를 포함하여 최소 5개의 다른 클라우드 서비스 공급자를 C2 인프라에 통합했습니다.
Latrodectus - Google Firebase를 사용하여 악성 설치 스크립트를 다운로드했습니다.
LazyScripter - 스팸 캠페인을 운영하기 위해 페이로드를 호스팅하기 위해 GitHub을 사용했습니다.
Mustang Panda - PlugX 변형을 제공하기 위해 Dropbox URL을 사용했습니다.
NETWIRE - Paste.ee를 포함한 웹 서비스를 사용하여 페이로드를 호스팅했습니다.
ngrok - 위협 행위자들이 ngrok 서비스 하위 도메인에 대한 C2 연결을 프록시하는 데 사용되었습니다.
Nightdoor - 명령 및 제어 목적으로 Microsoft OneDrive 또는 Google Drive를 활용할 수 있습니다.
Operation Spalax - OneDrive와 MediaFire를 사용하여 페이로드를 호스팅했습니다.
Raspberry Robin - 2단계 페이로드는 악성 EXE 및 DLL을 포함하는 RAR 파일로 Discord 서버에 호스팅될 수 있습니다.
RedCurl - 웹 서비스를 사용하여 악성 파일을 다운로드했습니다.
Rocke - 명령 및 제어를 위해 Pastebin, Gitee 및 GitLab을 사용했습니다.
SharpStage - 탐지를 피하기 위해 합법적인 웹 서비스를 사용했습니다.
Sibot - 합법적인 침해된 웹사이트를 이용해 피해자의 컴퓨터에 DLL을 다운로드했습니다.
SMOKEDHAM - 악성 링크를 통해 피해자가 다운로드한 파일을 호스팅하기 위해 Google Drive와 Dropbox를 사용했습니다.
Snip3 - Pastebin 및 top4top을 포함한 웹 서비스에서 추가 페이로드를 다운로드할 수 있습니다.
SocGholish - 2단계 서버를 호스팅하기 위해 Amazon Web Services를 사용했습니다.
TeamTNT - iplogger.org를 활용하여 수집된 데이터를 C2로 다시 보냈습니다.
Turla - C2 통신을 위해 Pastebin, Dropbox, GitHub을 포함한 합법적인 웹 서비스를 사용했습니다.
WhisperGate - Discord 채널에 호스팅된 추가 페이로드를 다운로드할 수 있습니다.
완화책
네트워크 침입 방지
특정 적대적 맬웨어의 트래픽을 식별하기 위해 네트워크 시그니처를 사용하는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
웹 기반 콘텐프 제한
웹 프록시는 승인되지 않은 외부 서비스 사용을 방지하는 외부 네트워크 통신 정책을 시행하는 데 사용할 수 있습니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
-네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.