악성코드의 DGA DNS 유사도 분석을 통한 APT 공격 탐지

Abstract

최근 해킹은 특정대상을 목표로 은밀하고 지속적으로 공격하는 것이 특징이다. 이러한 공격 형태를 지능형 지속 위협 (APT, Advanced Persistent Threat)이라 한다. APT 공격은 다양한 공격기법을 활용하여 기존 보안 솔루션을 우회하여 대응하기가 점점 더 어려워지고 있다.

APT 공격은 특정목표의 보안을 우회하기 위해 지속적으로 취약점 찾기를 시도하는데, 이때 가장 중요한 특징은 공격 시도가 마치 네트워크 정상 행위로 인식되도록 가장하는 것이다. 즉, 공격자는 보안 솔루션의 임계점(Threshold)을 넘지 않으면서 은밀하게 공격을 시도한다. 그러므로 기존 보안 솔루션의 탐지 기법으로는 APT 공격을 탐지하기 매우 어려우며 탐지되더라도 피해를 입고 나서 뒤늦게 발견되는 경우가 많다. 이러한 공격 특징에 대응하기 위해서는 APT 공격 단계의 특징을 고려한 탐지 기법을 설계해야 한다. 본 논문에서는 APT 공격 단계 중 감염 host와 C&C Server 간 통신 단계의 특징을 통해 공격 징후를 탐지하는 것을 목표로 한다.

APT 공격에서 감염 host와 C&C(Command and Control) Server 간 통신단계는 공격 목표의 내부로 침입하기 위한 사전단계에 해당한다. 공격자는 감염 host를 최대 다수 확보 후 이들을 제어할 C&C Server를 구성하는데 이 과정에서 감염 host와 C&C Server 간 간헐적인 통신이 이루어진다. 이때 C&C Server의 IP 또는 DNS가 1개로 고정된 채 통신이 이뤄지면, 보안 솔루션에 의해 차단될 가능성이 매우 높다. 때문에 이를 은폐하기 위한 다양한 시도가 이루어졌다. 기존에 는 IP Flux 및 DNS Flux를 활용하여 C&C Server의 위치를 숨기기 위해 가상의 dummy IP/DNS를 다수 노출시키는 방식 으로 추적을 지연시켰으나, 최근의 은폐 방식은 DGA(Domain Generation Algorithm)을 적용한 동적 DNS 생성을 통해 C&C Server를 탐지로부터 은폐시킨다.

본 논문에서는 DGA DNS 탐지를 위해 텍스트 마이닝 알고리즘인 n-gram을 활용하여 100만개의 정상 DNS 리스트 (Alexa Top 1 million site)와 실제 악성코드의 DGA가 생성한 DNS 리스트의 유사도를 비교한다. 이를 통해 DGA DNS 를 활용한 C&C Server 은폐를 확인하고, 이를 APT 공격 징후로 판별하는 것을 목표로 한다.