>
연구(Insikt)

2022년 적대적 인프라 보고서

게시일: 2022년 12월 15일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 보고서를 PDF로 다운로드하려면 여기를 클릭하세요.

레코디드 퓨처의 인식트 그룹(® )은 2022년 한 해 동안 선제적 스캔 및 수집 방법을 사용하여 식별된 악성 명령 및 제어(C2) 인프라에 대한 연구를 수행했습니다. 모든 데이터는 Recorded Future® 플랫폼에서 제공되었으며 2022년 9월 1일 현재를 기준으로 합니다.

Executive Summary

Recorded Future는 다양한 사후 악용 툴킷, 맞춤형 멀웨어, 오픈 소스 원격 액세스 트로이목마(RAT)를 위한 새로운 악성 인프라의 생성 및 변경을 추적합니다. 2017년부터 RAT, 지능형 지속 위협(APT) 멀웨어, 봇넷 제품군 및 기타 상용 툴을 포함한 108개 제품군에 대한 탐지 기능을 개발했습니다. 2022년에는 작년보다 30% 증가한 17,000개 이상의 고유 명령 및 제어(C2) 서버가 관찰되었습니다. 2021년과 마찬가지로 2022년에도 Cobalt Strike 팀 서버, IcedID 및 QakBot을 포함한 봇넷 제품군, PlugX와 같은 인기 RAT가 컬렉션을 주도했습니다.

주요 판단

  • 탐지된 서버의 32%(5,481개)가 Recorded Future의 명령 및 제어 소스에 의해 단독으로 식별되었습니다.
  • 저희의 스캔 작업으로 C2 서버가 탐지된 시점과 다른 출처에서 보고된 시점 사이에는 평균 33일의 리드 타임이 소요되는 것으로 나타났습니다.
  • 탐지된 전체 C2 서버 수는 2021년 13,629개에서 2022년 17,233개로 30% 증가했습니다.
  • ShadowPad의 '후속 제품'으로 선전되고 있는 PlugX는 여전히 많이 사용되고 있습니다.
  • 2021년과 마찬가지로 봇넷 멀웨어, 주로 이모텟과 칵봇은 C2 인프라를 지속적으로 확장하며 연중 내내 기승을 부리고 있습니다.
  • 러시아 국가가 후원하는 C2 인프라의 변화는 다른 국가 귀속 단체보다 특정 작업을 추적하기 더 어렵게 만들 수 있습니다.
  • 예상대로 가장 큰 호스팅 제공업체가 계속해서 가장 많은 C2 서버를 관찰하고 있습니다. 그러나 이번 조사에서 C2 서버 호스팅을 가장 많이 사용하는 국가로 미국을 제치고 중국이 C2 서버 호스팅 규모 기준 1위 국가가 된 선전 텐센트 컴퓨터 시스템의 호스팅이 300% 이상 증가하는 등 C2 서버에 사용되는 제공업체에 변화가 생겼습니다.
  • 2021년에는 더욱 다양한 C2 환경으로 인해 새로운 툴링으로 인한 탐지가 증가할 것으로 예측했습니다. 그러나 우리가 관찰한 다양성은 새로운 도구의 사용보다는 기존 도구의 광범위한 확산에서 더 많이 나타났습니다.

배경

곧 활성화될 악성 명령 및 제어(C2) 서버를 식별할 때 알림 리드 타임을 늘리면 방어자가 보다 능동적으로 위협을 무력화할 수 있습니다. C2 서버가 작동하려면 그림 1에서 볼 수 있듯이 위협 행위자가 수행해야 하는 몇 가지 단계가 있습니다. 먼저, 서버 인프라를 타협 또는 합법적인 구매를 통해 확보해야 합니다. 다음으로 C2 통신에 도메인 네임이 필요한 경우 도메인 네임을 구입하여 등록해야 합니다. 그런 다음 소프트웨어를 설치하고, 구성을 조정하고, TLS(전송 계층 보안) 인증서를 등록(해당되는 경우)하고, 파일을 서버에 추가해야 합니다. 공격자는 패널 로그인, 보안 셸(SSH) 또는 원격 데스크톱 프로토콜(RDP)을 통해 액세스한 다음 포트에 멀웨어 컨트롤러를 노출하여 피해자로부터 데이터를 전송하고 감염 명령을 실행할 수 있도록 해야 합니다. (작업에 따라 추가 작업이 필요할 수도 있습니다.) 이 단계가 완료되어야만 서버를 악의적으로 사용할 수 있습니다.

2022_adversary_infrastructure_report_figure_1.png

그림 1: C2 무기화 수명 주기(출처: Recorded Future)

그러나 공격자는 서버를 세우고, 구성하고, 액세스하는 과정에서 피싱 캠페인이나 악성 도구로 서버를 사용하기 전에 관찰할 수 있는 아티팩트를 남깁니다. 이러한 아티팩트는 방어자에게 탐지 기회를 제공하며 서버에 배포된 소프트웨어 버전, 로그인 패널, TLS 인증서 패턴 또는 간단한 프로브가 반환하는 기본 메시지를 포함합니다.

C2 서버의 생성부터 무기화까지 탐지하면 공격자가 악성 캠페인을 수행하는 방식에 대한 인사이트를 얻을 수 있습니다. 여기에는 다음이 포함됩니다:

  • C2 탐지와 해당 제품군과 관련된 침입 보고를 비교하면 얼마나 많은 침입이 탐지되었는지, 그리고 잠재적으로 얼마나 많은 이벤트가 공개 도메인에 알려지지 않은 상태인지 파악할 수 있습니다.
  • 서버 생성 속도를 측정하면 향후 활동의 급증 또는 감소에 대한 인사이트를 얻을 수 있습니다.
  • 공개 영역에서 사용할 수 없는 지표와 인텔리전스를 캡처합니다.
수집 편향에 대한 참고 사항

Recorded Future는 주로 알려진 멀웨어 제품군과 해당 서버 측 소프트웨어의 특성을 기반으로 C2 서버에 대한 정보를 수집합니다. 이 컬렉션의 성격은 알려진 명령 및 제어 프레임워크와 그 파생 제품 또는 지원 인프라를 식별하는 데 중점을 두고 있으며 수동 및 능동 인터넷 스캔 데이터를 포함합니다. C2의 악의적인 활동 증거가 있는 IP 주소만 C2 서버인지 확인합니다. 따라서 알려진 위협이 있는 서버를 보고할 때 해당 서버에 편향된 수집을 하게 됩니다. 이 방법론은 네트워크 내부에서 이상 징후를 식별하거나 비정상 트래픽을 탐지하는 대신 사용할 수 없습니다.

위협 분석

상위 5개의 C2 제품군은 한 가지 멀웨어 카테고리가 지배하지 않고 사후 익스플로잇 프레임워크(Cobalt Strike), 원격 액세스 도구/백도어(PlugX, DarkComet), 봇넷(Emotet)이 혼합되어 있습니다.

2022_adversary_infrastructure_report_figure_2.png

그림 2: 레코디드 퓨처에서 관찰한 상위 5개 C2의 3년 추세(출처: 레코디드 퓨처)

지난 3년간 상위 5개 제품군을 자세히 살펴보면 이러한 도구가 출시된 지 오래되었음에도 불구하고 코발트 스트라이크, 미터프리터, 플러그엑스 서버의 수가 지속적으로 증가하고 있음을 확인할 수 있습니다. 이모텟에 대한 탐지는 약 1년 동안 활발히 진행되었으며, 관찰된 탐지 횟수를 기준으로 볼 때 이모텟은 실제로 다시 정상적으로 작동하고 있습니다. 다크코멧은 전년 대비 약 47% 증가한 수치에서 알 수 있듯이 여전히 관련성이 높습니다. 매년 새로운 멀웨어와 레드팀 툴이 출시되지만, 그림 2에서 볼 수 있듯이 이전 세대의 확고한 툴에 비해 그 사용량은 감소하는 것으로 관찰됩니다.

2022_adversary_infrastructure_report_figure_3.png

그림 3: 레코디드 퓨처에서 본 멀웨어 제품군별 총 C2 탐지 건수(출처: 레코디드 퓨처)

상위 20개 C2 탐지 항목으로 범위를 확장하면 플러그엑스, AsyncRAT, 아이스아이디, 다크코멧과 같은 주요 제품군과 함께 브루트 라텔(BRc4), 범블비와 같은 새로운 제품군을 포함하여 보다 균형 잡힌 C2 환경을 확인할 수 있습니다. 2021년에는 "C2 환경이 계속 다양화될 것"이라고 예측했습니다. 새로운 멀웨어 제품군과 C2 프레임워크가 출시됨에 따라 이들 중 일부는 서버를 스캔하고 탐지하는 위협 인텔리전스 조치를 인지할 것으로 예상됩니다." 2022년에 작년 상위 5개 및 상위 20위권 밖의 툴에서 탐지된 C2의 수가 크게 증가한 것은 사실이지만, 올해 증가의 대부분은 더 많은 공격자들이 플러그엑스, 렘코스, 다크코멧, 쿼사랫과 같은 "기존" 툴을 사용했기 때문입니다. 데이터 세트에서 2021년에 비해 2022년에 사용량이 증가한 상위 6개 도구는 다음과 같습니다:

  1. PlugX (51% 증가)
  2. Remcos(51% 증가)
  3. 다크코멧(44% 증가)
  4. QuasarRAT(40% 증가)
  5. 신화(33% 증가)
  6. AsyncRAT(24% 증가)

이러한 높은 수준의 상용 툴 사용은 점점 더 많은 위협 행위자들이 탐지가 불가능하기보다는 눈에 띄지 않게 숨어버리는 데 더 신경을 쓰거나 공격 대상이 이러한 잘 알려진 툴조차 탐지되지 않을 것으로 판단하고 있다는 것을 나타냅니다. 또한 맞춤형 툴을 개발하는 데 필요한 비용과 전문성을 고려할 때 위협 행위자는 상용 툴을 구매하거나 무료 오픈 소스 툴을 사용하는 것을 선호할 수 있습니다.

예를 들어 BRc4를 사용하면 엔드포인트 탐지 및 대응(EDR) 회피 기술이 더 많이 제공되지만 사용자 기반이 작기 때문에 어트리뷰션에 더 많은 위험이 있는 반면, DarkComet을 사용하면 은밀하거나 회피할 수 없지만 많은 위협 행위자가 사용하는 오픈 소스 RAT입니다.

2022년 적대적 인프라 테마

C2의 관찰 결과를 전체적으로 살펴보면, 2022년의 3가지 주요 테마를 확인할 수 있습니다:

  1. 플러그엑스는 후속작에도 불구하고 여전히 성공적입니다: ShadowPad가 '후속 제품'으로 선전되고 있음에도 불구하고 PlugX는 여전히 널리 사용되고 있습니다.
  2. 다시 봇으로 돌아가기(반복): 2021년만큼 널리 퍼지지는 않았지만, 여러 봇넷이 여전히 활발하게 활동 중입니다. Emotet, IcedID, QakBot, Dridex, TrickBot이 모두 2022년 상위 20위 안에 들었습니다.
  3. 러시아, 읽은 후 소각: 러시아에 의한 C2 탐지의 한계.
후속작에도 불구하고 여전히 성공적인 플러그인X

2020 적대적 인프라 보고서에서 ShadowPad를 플러그엑스의 후속작으로 설명한 닥터웹의 기사를 참조했습니다. 2020년 이후에도 여러 중국 국가 후원 단체의 ShadowPad 채택이 증가했음에도 불구하고 PlugX 감염이 계속 관찰되었습니다(Recorded Future는 ShadowPad 컨트롤러를 관리하는 인프라를 AXIOMATICASYMPTOTE로 추적하고 있습니다). 2022년에도 플러그엑스의 사용은 계속되고 있으며, 아래 그래프에서 볼 수 있듯이 더욱 증가하고 있습니다.

2022_adversary_infrastructure_report_figure_4.png

그림 4: 지난 12개월 동안 탐지된 플러그엑스 및 엑시오매틱임포트 C2의 수(출처: Recorded Future)

플러그엑스는 지난 10년 동안 주로 중국에 기반을 둔 위협 공격자들이 사용했습니다. 2015년 에어버스에서 보고한 것처럼 이전 버전의 플러그엑스 빌더가 공개적으로 유출된 적이 있습니다. 이는 플러그엑스 사용이 제한된 중국 국가 지원 위협 행위자들에게 비공개로 판매되는 ShadowPad에 비해 덜 엄격하게 통제될 가능성이 높다는 것을 의미합니다. 레드델타 및 레드폭스트롯 위협 행위자 그룹에 기인하는 플러그엑스 변종을 적극적으로 추적하고 있습니다.

봇으로 돌아가기(반복)

2021년에는 이모텟이 다운된 후 봇넷 활동이 급격히 증가했으며, 트릭봇, 칵봇, 바자르, 아이스아이디, 드리덱스가 탐지된 C2의 대부분을 차지했습니다. 2022년에는 봇넷이 C2 데이터를 지배하지는 않았지만 상위 5위와 상위 20위 목록에 여전히 존재했습니다. 그림 5에서 볼 수 있듯이 올해 가장 많이 C2가 탐지된 봇넷 패밀리는 드리덱스, 이모텟, 아이스아이디, 칵봇, 트릭봇입니다.

2022_adversary_infrastructure_report_figure_5.png

그림 5: 탐지된 드리덱스, 이모텟, 아이스아이디, 칵봇, 트릭봇 C2의 비교(출처: 레코디드 퓨처)

트릭봇과 드리덱스
몇 달 후 악성코드가 휴면 상태가 되기 전인 2021년 10월(활성 C2 194개)에 트릭봇 C2의 탐지 수가 급증하는 것을 관찰했으며, 마찬가지로 드리덱스 활동은 휴면 상태가 되기 전인 2022년 6월(활성 C2 150개)에 급증하기 전까지 매달 45~80개의 활성 C2로 꾸준한 수준을 유지했습니다.

트릭봇 활동은 올해 초 트릭봇 운영자들이 트릭봇 멀웨어의 사용을 단계적으로 중단하고 있다는 보고와 일치합니다. 드리덱스의 경우, 3월부터 6월까지 사용량이 급증한 것은 RIG 익스플로잇 킷에 드리덱스가 사용되었다는 보고와 관련이 있습니다. 드리덱스의 갑작스러운 휴면 상태는 아이스아이디와 칵봇의 확산, 이모텟의 부활로 인해 봇넷이 전반적으로 그 위력을 잃었음을 의미할 수도 있습니다.

QakBot
작년 말부터 올해까지 관찰된 QakBot C2의 수는 월 평균 10개로 비교적 낮은 수치를 보였습니다. 2022년 3월부터 QakBot C2의 탐지 건수가 크게 증가했으며, 2022년 9월에는 90개의 활성 C2가 발견되어 최고치를 기록했습니다. 가장 최근에 센티넬원은 블랙 바스타 랜섬웨어를 전달하는 데 칵봇이 사용되는 것을 발견했습니다.

IcedID
2022년 5월까지 IcedID는 한 달에 30~60개의 활성 C2를 보유하고 있는 것으로 관찰되었습니다. 5월부터 102개까지 증가했으며, 2022년 9월에는 178개까지 꾸준히 증가할 것으로 예상됩니다. 다음과 같은 주요 이벤트가 이러한 증가의 원인일 수 있습니다:

  • 2022년 4월, CERT-UA는 IcedID 멀웨어를 설치하는 XLS 문서의 대량 배포에 대한 경고를 보냈습니다.
  • 가장 최근에는 퀀텀 락커 랜섬웨어를 다운로드하고 실행하는 데 IcedID가 사용된 것으로 알려졌습니다.

이모티콘
2021년 초 이모텟 인프라가 폐쇄되고 활동이 장기간 중단된 후 이모텟이 영구적으로 운영을 중단할 수 있다는 추측이 있었지만 이는 사실이 아닌 것으로 밝혀졌습니다. 이모텟은 2021년 말에 콘티 랜섬웨어 작전과 연계하여 다시 등장했습니다. 이모텟의 초기 부활은 트릭봇의 인프라를 재사용한 것으로 알려졌습니다. 공교롭게도 그림 5에서 Emotet은 TrickBot이 작동을 중단하기 직전에 추적한 것과 동일한 수의 활성 C2로 시작하는 것을 볼 수 있습니다.

2021년 말과 2022년 초에는 이모티콘 C2의 양이 상대적으로 적었지만, 2022년 5월에는 1,200개 이상의 활성 C2가 발생하며 크게 급증하는 것을 관찰했습니다. 넷스코프 위협 연구소의 보고에 따르면 이 기간 동안 LNK 파일과 마이크로소프트 오피스 문서를 사용하여 이모텟을 유포한 2건의 활발한 캠페인이 있었습니다.

6월에는 다시 낮은 수치를 보이다가 2022년 7월부터 이모티콘 수치가 다시 상승하기 시작했습니다. 현재 관찰되는 활성 이모티콘 C2의 수는 5월에 급증했던 수준과 거의 비슷하며, 2022년 9월에는 1,000개가 조금 넘는 활성 C2를 기록했습니다. 2022년 7월 이후 Emotet 활성 C2의 최근 증가세는 Emotet의 가장 최근 보고를 뒷받침합니다:

  • 이모텟은 퀀텀 및 ALPHV 랜섬웨어를 로드하는 데 사용되고 있습니다.
  • 프루프포인트는 11월에 이모텟이 하루에 "수십만 건"의 피싱 이메일을 유포하고 있으며, 이 피싱 이메일이 아이스아이디를 로드하고 실행하는 데 사용되고 있다고 밝혔습니다. Emotet을 통한 IcedID의 배포 증가도 최근 IcedID 탐지의 증가에 영향을 미친 것으로 보입니다.
러시아, 독서 후 화상

관찰한 바에 따르면, 러시아 국가 소속 행위자들은 다른 국가가 후원하는 작전과 비교할 때 C2 인프라에 대해 더 나은 운영 보안을 사용하는 경우가 많습니다. 예를 들어, C2 서버를 1대1로 운영하여 단일 대상 조직의 임플란트와만 상호 작용하는 등의 방법을 사용하는 경우가 많습니다. 또한 C2 인프라가 공개적으로 보고되면 해당 인프라가 신속하게 제거되는 경우가 많다는 점도 관찰했습니다. 일부 러시아 국가가 후원하는 공격자들은 상품용 멀웨어와 널리 사용되는 C2 프레임워크 사용으로 전환하는 국가 공격자들의 전반적인 추세의 선두에 서기도 했습니다. 위협 행위자가 스파이 활동을 위해 일반적인 기성 소프트웨어를 이용하는 경우 연구자와 수사관의 어트리뷰션이 더욱 어려워질 수 있습니다.

반면, 중국, 이란 및 일부 다른 국가의 소행으로 추정되는 작전은 멀웨어 및 인프라 운영 보안에 신중하지 못한 경우가 많으며, 특정 C2를 수많은 표적에 공개 후 사용하거나 본질적으로 동일한 멀웨어(예: 플러그엑스)를 여러 운영팀에서 공유하면서 수년간 사용하는 경우가 많습니다.

러시아 국가가 후원하는 C2 인프라의 잦은 이동은 특정 작전을 추적하기 어렵게 만들 수 있습니다. 러시아 대외정보국(SVR)과 연계된 WellMess 백도어를 호스팅하는 데 일반적으로 사용되는 서버 기술 및 TLS 인증서 구성에 대해 Recorded Future에서 지정한 GRAVITYWELL은 이러한 임시 인프라의 예를 제공합니다.

저희는 여러 단계에 걸쳐 GRAVITYWELL을 추적했습니다. 이 단계들 사이에서 저희는 GRAVITYWELL 활동이 공개된 직후 인프라에 뚜렷한 변화를 관찰했습니다.

2020년 7월, 영국의 국가사이버보안센터(NCSC)는 WellMess를 사용한 APT29 작전에 대한 보고서를 발표했습니다. 이 보고서에는 캠페인에서 사용 중인 것으로 알려진 C2 인프라가 포함되어 있습니다. 2020년 8월에 해당 인프라는 캠페인의 이전 단계와 구별되는 TLS 인증서 패턴으로 식별할 수 있는 새로운 C2 세트로 교체되었습니다. 2021년 7월, TLS 인증서 세부 정보를 제공한 30개 이상의 C2 서버를 식별한 RiskIQ 보고서가 발표되었습니다. 1년 전에도 그랬듯이, 보고서가 발표된 지 한 달 만에 이러한 C2의 변화가 관찰되었습니다.

2022_adversary_infrastructure_report_figure_6.png

그림 6: 그래비티웰의 공개 보고 및 인프라 변경 타임라인(출처: Recorded Future)

익스플로잇 후 프레임워크

저희가 탐지한 익스플로잇 후 프레임워크 중 합법적인 레드팀 작전에 사용되는 프레임워크와 범죄 또는 스파이 활동에 사용되는 프레임워크의 비율을 추정하기는 어렵습니다. 전반적으로 볼륨 변화는 다양한 운영에서의 채택 외에도 서명 개선 및 수집 노력 증가와도 관련이 있을 수 있습니다.

2022_adversary_infrastructure_report_figure_7.png

그림 7: 지난 3년간 공격적 보안 툴에 대한 C2 관찰 결과(출처: Recorded Future)

작년에 관찰된 상위 10개의 공격용 보안 툴을 지난 2년간과 비교하면 한 가지 분명한 사실을 알 수 있습니다: 코발트 스트라이크 C2 활동이 계속해서 빠른 속도로 증가하고 있다는 점입니다. 코발트 스트라이크는 다양한 공격자들이 선호하는 공격용 보안 도구로, 작년에 코발트 스트라이크 탐지량이 크게 증가했습니다. 2배의 증가는 탐지 횟수, 탐지 실행 시간, 코발트 스트라이크를 사용하는 행위자의 수가 증가했기 때문이라고 생각합니다.

볼륨이 증가한 상위 10위권 내 다른 프레임워크에는 Covenant, 신화, 메타스플로잇/미터프리터(이 두 프레임워크는 올해 통합)가 있지만, 코발트 스트라이크만큼 크게 증가한 프레임워크는 없습니다. Covenant의 오픈 소스 프로젝트는 2021년 이후 업데이트되지 않았지만 사용량이 계속 증가하고 있습니다. Mythic은 코드 베이스에 대한 업데이트를 계속 받고 있습니다. 일부 신화 인프라에는 Conti 유출 사건에서도 언급된 Botleggers Club이라는 이름이 언급되어 있으며, 이는 적어도 일부 랜섬웨어 운영자들이 이 이름을 사용하고 있음을 시사합니다.

브루트 레이텔(BRc4)과 BeEF는 모두 탐지율이 아직 상위 10위 안에 들 만큼 높지 않아 올해 명예로운 언급에 그쳤습니다. EDR 개발 경력이 있는 BRc4의 개발자는 EDR이 탐지되지 않도록 작동하는 방식을 구체적으로 타겟팅하여 탐지하기 어려운 도구를 만들기 위해 노력하고 있습니다. BRc4의 버전이 크랙되어 범죄 조직을 통해 확산되고 있으며, 블랙 바스타 랜섬웨어 조직이 사용하고 있는 것으로 확인되었습니다.

글로벌 규모

새로운 멀웨어군에 대한 탐지 개발, 기존 멀웨어군에 대한 탐지 기능 개선, Cobalt Strike, Meterpreter, PlugX 등 탐지 도구의 사용 증가로 인해 2021년(13,268개) 대비 2022년(17,233개)에 30% 더 많은 C2 서버를 탐지할 수 있었습니다.

116개국 1,419개 호스팅 제공업체에서 C2 인프라가 생성되는 것을 관찰했습니다. 이는 전 세계 지역의 대부분을 차지하지만, 악용된 서버는 7만 개가 넘는 전체 자율 시스템(AS) 운영자 중 극히 일부에 불과합니다.

2022_adversary_infrastructure_report_figure_8.png

그림 8: 국가별 C2 관측(자율 시스템 번호[ASN] 위치로 식별됨) (출처: Recorded Future)

  • 2021년과 마찬가지로 가장 규모가 큰 호스팅 제공업체가 C2 호스팅에 가장 많이 악용되고 있으며, 24개 AS 사업자(전체 자율 시스템 수[ASN]의 1%)에서 100개 이상의 C2 서버가 2022년에 탐지되었습니다(2021년 20개 AS 사업자와는 대조적).
  • 2022년 한 해 동안 C2 서버를 호스팅하는 1,419개의 고유 AS 사업자가 관찰되었지만, 대부분 100개 이하의 C2 서버를 호스팅하는 것으로 관찰되었습니다(98%). 1,225개의 AS 사업자(전체 관찰된 ASN의 86%)는 10개 이하의 C2 서버를 호스팅했으며, 682개의 AS 사업자는 단 1개의 C2 서버만 호스팅했습니다.
  • 2022년 중국은 4,265개, 미국은 3,928개로 2위, 홍콩은 1,451개로 3위를 차지했으며, 상위 3개국이 탐지된 전체 C2 서버의 55%를 차지했고 상위 10개국이 탐지된 전체 C2 서버의 88%를 차지했습니다.
  • C2 서버를 호스팅하는 것으로 관찰된 116개국 중 18개국은 2022년에 단 1개의 C2 서버만 호스팅했습니다.
  • 미국의 C2 서버 점유율은 34%에서 22%로 감소한 반면, 중국의 점유율은 14%에서 24%로 증가했는데, 이는 중국 호스팅 업체인 선전 텐센트 컴퓨터 시스템에서 C2 탐지 건수가 크게 증가했기 때문입니다.
  • 홍콩과 네덜란드에서 탐지된 C2 서버의 비율은 각각 3.3%에서 8%로, 2.1%에서 7%로 증가했습니다.

순위 순위에 약간의 변화가 있었지만, 거래량 기준 상위 10개 C2 호스팅 제공업체의 구성은 2021년 이후 거의 변동이 없었으며, 싱가포르에 본사를 둔 BGPNET Global(AS64050)만 181개에서 147개로 감소하여 순위에서 탈락하고 Alibaba (US) Technology Co. 전반적으로 상위 10개 C2 호스팅 제공업체 모두 탐지된 C2 서버 수가 크게 증가했으며, 그 중 4개 업체는 2021년과 2022년 사이에 50% 이상의 증가율을 기록했습니다.

거래량 기준 상위 10개 C2 호스팅 제공업체
호스팅 제공업체 ASN 국가 총 C2 (2021) 총 C2(2022) 전년 대비 증가
심천 텐센트 컴퓨터 시스템 AS45090 중국 571 2297 3.02
디지털오션, LLC AS14061 미국 968 1421 0.48
Amazon.com, Inc. AS16509 미국 624 1156 0.85
항저우 알리바바 광고 유한공사 AS37963 중국 574 1126 0.96
더 콘스턴트 컴퍼니, LLC AS20473 미국 700 834 0.19
Microsoft Corporation AS8075 미국 205 411 1
OVH SAS AS16276 프랑스 267 338 0.27
Linode, LLC AS63949 미국 208 291 0.4
M247 Ltd AS9009 미국 171 228 0.33
알리바바(미국) 기술 유한회사(Alibaba (US) Technology Co. AS45102 미국 95 192 1.02

표 1: 2022년에 관찰된 C2 서버 수량 기준 상위 C2 호스팅 제공업체 및 2021년 대비 비교

  • 중국에서 운영되는 선전 텐센트 컴퓨터 시스템즈(Shenzhen Tencent Computer Systems)는 C2 서버가 302% 증가했으며, 2022년에 레코디드 퓨처가 관찰한 ASN 중 가장 많은 C2 서버를 호스팅하게 되었습니다. 호스팅 제공업체는 2,297개의 개별 C2 서버(13%)를 보유했습니다. 심천 텐센트 컴퓨터 시스템에서 가장 많이 관찰된 패밀리는 코발트 스트라이크로, 2,032개의 서버가 확인되었습니다.
  • 그 다음으로 규모가 큰 업체는 미국에서 운영되는 DigitalOcean LLC로, 2021년에 1위를 차지한 바 있습니다. 호스팅 제공업체는 48%의 증가율을 기록했으며 1,421개의 개별 C2 서버를 호스팅했습니다(8%). 디지털오션에서 가장 많이 관찰된 패밀리는 526개의 서버가 확인된 코발트 스트라이크였습니다.

표 2는 상위 5개 멀웨어군이 상위 10개 호스팅 제공업체의 C2 서버에서 대부분을 차지했으며 상위 5개 멀웨어군이 상위 10개 호스팅 제공업체 중 절반에서 탐지된 전체 C2 서버의 80% 이상을 차지했음을 보여줍니다. "상위 멀웨어 %" 열은 상위 5개 멀웨어군이 호스팅 제공업체의 전체 C2에 기여한 C2 탐지 비율을 반영합니다.

C2 호스팅 제공업체별 상위 5가지 멀웨어 제품군
호스팅 제공업체 상위 패밀리 총 C2 상위 멀웨어 %
심천 텐센트 컴퓨터 시스템 코발트 스트라이크, 미터프리터, 공리주의적 임팩트, 메타스플로잇, 플러그엑스 2178 95%
항저우 알리바바 광고 유한공사 코발트 스트라이크, 미터프리터, 슬리버, 퓨피랫, 익스트림랫 1041 92%
디지털오션, LLC 코발트 스트라이크, 예로더, 아이스아이디, 미터프리터, 신화, 신화 935 66%
Amazon.com, Inc. 코발트 스트라이크, 미터프리터, 코아딕, 실버, Gh0st RAT 668 58%
더 콘스턴트 컴퍼니, LLC 코발트 스트라이크, 플러그엑스, 엑시오매틱심프터, 미터프리터, 칵봇 669 80%
Microsoft Corporation 코발트 스트라이크, 케르베로스, 미터프리터, 다크코멧, 엠파이어 파워쉘 290 71%
M247 Ltd 코발트 스트라이크, 범블비, 아이스아이디, 미터프리터, 플러그엑스 200 88%
OVH SAS 코발트 스트라이크, 범블비, 아이스아이디, 미터프리터, 나노코어 RAT 178 53%
알리바바(미국) 기술 유한회사(Alibaba (US) Technology Co. 코발트 스트라이크, 미터프리터, 익스트림랫, 공리주의자, 크로스워크 159 83%
Linode, LLC 코발트 스트라이크, 미터프리터, 공리주의, 신화, 플러그X 125 43%

표 2: 2022년에 관찰된 C2 호스팅 제공업체별 상위 멀웨어 제품군

표 2의 모든 호스팅 제공업체에서 가장 많이 사용되는 멀웨어 제품군은 Cobalt Strike이며, 많은 경우 Meterpreter가 그 뒤를 잇고 있습니다. AXIOMATICASYMPTOTE와 PlugX는 일반적으로 동일한 호스팅 제공업체에서 찾을 수 있습니다. 레코디드 퓨처의 범블비 탐지 중 26%는 M247 Ltd와 OVH SAS에서, 케르베로스 탐지 중 57%는 Microsoft Corporation 인프라에서 발견되었습니다.

이 호스팅 제공업체들이 가장 많은 수의 C2 서버를 보유하고 있지만, 관할하는 전체 서버 수에서 C2 서버가 차지하는 비율은 극히 미미합니다. 표 3은 총 보유량 대비 C2 서버의 비율이 가장 높은 10개 제공업체를 보여줍니다. 이 추정치는 2022년에 관찰된 확인된 C2 서버와 비교하여 AS에서 발표한 IPv4 접두사 수를 기반으로 합니다.

C2 호스팅 비율이 가장 높은 호스팅 제공업체
호스팅 제공업체 ASN 국가 최고 탐지 호스팅되는 서버의 %가 C2입니다.
UAB 체리 서버 AS59642 리투아니아 Cobalt Strike 3.91%
SteamVPS SRL AS50578 루마니아 IcedID 2.73%
쿠룬 클라우드 Inc AS395886 미국 Cobalt Strike 2.34%
플라이서버 S.A. AS48721 파나마 Cobalt Strike 1.56%
HDTIDC LIMITED AS136038 홍콩 로밍 사마귀 1.20%
국제 호스팅 솔루션 LLP AS213354 영국 YerLoader 1.17%
플라이서버 S.A. AS209588 파나마 Cobalt Strike 0.95%
창 웨이 테크놀로지스 Co. Limited AS57523 홍콩 Cobalt Strike 0.91%
BL 네트워크 AS399629 미국 Cobalt Strike 0.80%
BlueVPS OU AS62005 에스토니아 IcedID 0.78%

표 3: 2022년에 전체 서버 대비 C2 서버의 비율이 가장 높은 호스팅 제공업체

  • 표 3에서 2021년에 호스팅한 C2 서버 비율이 가장 높은 상위 10개 호스팅 업체 목록에 포함된 호스팅 업체는 영국에서 운영 중인 International Hosting Solutions LLP와 홍콩에서 운영 중인 HDTIDC LIMITED 두 곳뿐입니다. 등 다양한 방탄 호스팅 제공업체가 목록에서 탈락했습니다.
  • 오픈 소스 데이터에 따르면 표 3의 호스팅 제공업체는 대부분 이 두 가지 중 하나입니다:
    • 위험한 웹 트래픽과 관련이 있는 경우(예: UAB 체리 서버, BL 네트웍스, 쿠룬 클라우드 등);
    • 특정 위협 행위자가 선호하는 호스팅 제공업체로 간주된 적이 있는 경우(예: HDTIDC LIMITED를 사용하는 TAG-26) 또는
    • 는 방탄 호스팅 제공업체로 알려져 있습니다(예: Flyservers S.A. 또는 Chang Way Technologies Co. Limited).

전망

2023년에도 코발트 스트라이크와 봇넷이 여전히 C2 관측의 대부분을 차지할 것으로 예상할 수 있습니다. 내년에도 코발트 스트라이크가 상위 5개 탐지 항목에 포함될 것으로 예상하지만, 2배 이상 증가할 것으로 예상하지는 않습니다. 저희는 코발트 스트라이크 사용량이 BRc4 사용량으로 인해 식인될 것으로 예상합니다. 그 결과, 위협 행위자들이 EDR 에이전트에 덜 탐지되는 것을 목표로 하고 코발트 스트라이크의 대안으로 BRc4를 사용하려는 움직임으로 인해 BRc4 사용과 C2 탐지가 증가할 것으로 예상됩니다. 또한 슬리버, 데이모스C2, 알키미스트, 만주사카와 같은 틈새 C2 도구와 관련된 C2 관측이 증가할 것으로 예상할 수 있습니다.

이미 Redline Stealer, QakBot, Nanocore와 같은 멀웨어 제품군이 무작위 및 비표준 포트를 사용함에도 불구하고 성공하는 것을 목격하고 있습니다. IPv4 공간에서 가능한 모든 비표준 포트를 스캔하는 것은 불가능하므로 기존의 전체 인터넷 스캔은 금지됩니다. 한때 탐지가 더 쉬운 것으로 여겨졌지만, 하이 포트 사용은 여전히 적절한 C2 통신 채널로 보이며, 더 많은 C2 운영자가 C2 통신에 하이 포트를 사용할 것으로 예상합니다.

2022년 6월, ShadowServer는 IPv6 인터넷 공간을 스캔하는 방법론을 자세히 설명했습니다. 레코디드 퓨처를 비롯한 더 많은 조직에서 IPv6 검색을 늘릴 것으로 예상되며, 그 결과 더 많은 IPv6 C2 탐지가 발견될 것으로 예상됩니다. 널리 보고되지는 않았지만 Mandiant에서 보고한 VirtualPie와 같이 IPv6 연결을 통해 통신하는 멀웨어가 존재합니다.

관련