Domain Generation Algorithm C&C

DGA(Domain Generation Algorithm)는 멀웨어 작성자가 보안 조치에 의한 탐지를 피하고 명령 및 제어(C&C) 서버와의 통신을 설정하기 위해 사용하는 기술입니다.

DGA는 악성코드가 C&C 서버에 접속하는 데 사용하는 알고리즘 기능을 기반으로 다수의 도메인 이름을 생성합니다. 이 기술은 도메인 이름이 자주 변경되고 예측할 수 없기 때문에 보안 솔루션이 C&C 서버에 대한 액세스를 차단하기 어렵게 만듭니다.

DGA는 현재 날짜 및 시간, 시드 값 및 피해자 시스템에서 얻은 기타 정보와 같은 다양한 매개 변수의 조합을 기반으로 도메인 이름 집합을 생성하여 작동합니다. 그런 다음 멀웨어는 작동하는 이름을 찾을 때까지 이렇게 생성된 도메인 이름을 사용하여 C&C 서버에 접속을 시도합니다.

DGA는 일반적으로 Conficker 웜과 같은 봇넷에서 지속성을 유지하고 감염된 시스템을 제어하는 데 사용됩니다. 또한 랜섬웨어가 C&C 서버와 통신하여 명령을 받고 데이터를 보내는 데 사용됩니다.

DGA와 싸우기 위한 보안 조치는 기계 학습 기술을 사용하여 DGA에서 생성된 악성 도메인 이름을 탐지하고 차단할 수 있습니다. 이것은 패턴에 대한 도메인 이름을 분석하고 이 정보를 사용하여 알려진 악성 도메인의 블랙리스트를 생성함으로써 처리할 수 있습니다. 또한 보안 솔루션은 의심스러운 행동에 대해 네트워크 트래픽을 모니터링하고 알려져 있거나 의심되는 C&C 서버와의 모든 통신을 차단할 수 있습니다.

 

Command and Control 서버의 줄임말인 C&C 서버는 사이버 공격, 봇넷, 장치 원격 관리 등 다양한 상황에서 사용되는 서버 유형입니다.

사이버 공격 및 봇넷의 맥락에서 C&C 서버는 종종 봇 또는 좀비라고 하는 손상된 장치에서 명령을 보내고 데이터를 받는 데 사용됩니다. C&C 서버는 일반적으로 공격자가 제어하며 DDoS(분산 서비스 거부) 공격 실행 또는 중요한 정보 도용과 같은 손상된 장치의 작업을 관리하는 데 사용됩니다.

원격 장치 관리의 맥락에서 C&C 서버는 사물 인터넷(IoT) 장치 또는 산업 제어 시스템과 같은 장치 네트워크를 관리하는 데 사용할 수 있습니다. C&C 서버는 장치에 명령을 보내고 데이터를 수신하여 원격 모니터링 및 제어가 가능합니다.

C&C 서버라는 용어는 명령을 전송하고 하나 이상의 장치 또는 시스템의 작업을 제어하는 데 사용되는 서버를 의미합니다.