타켓 공격에서 커스터마이징 악성코드는 주로 C&C서버에 접속해 명령을 받아 동작합니다.
대부분 Dynamic DNS 를 사용하고 있기 때문에 IP로 차단하는 경우 시간이 지나면 IP가 변경되어 바로 우회가 됩니다.
방화벽중에 URL차단 기능이 있는 경우에는 C&C 서버 URL을 등록하면 되지만, 기능이 없거나 부하를 주는 경우에는 사용할 수가 없습니다.
이런 경우 내부 DNS 서버에 Zone 파일을 추가해 C&C 서버 주소를 등록해놓고 로컬IP를 할당하면 PC나 서버에 악성코드가 감염되더라도 C&C 서버에 접속하지 못해 추가적인 피해를 막을 수 있습니다.
이러한 기법을 DNS Sinkhole 또는 DNS blackhole 이라고 하는데 기본 컨셉은 비슷합니다.
KrCERT/CC에서 좋은 문서를 만들어서 배포하고 있으니 참고하시면 되겠습니다.
악성봇싱크홀 운영지침
Botnet C&C Handling with DNS Sinkhole
봇넷 URL List 를 서로 공유하면 좋겠는데, 배포하는 곳이 없네요...
Subscribe to:
Post Comments (Atom)
Posts
No comments:
Post a Comment