피드로 돌아가기
The RegisterSecurity
원문 읽기
Microsoft Teams 인프라를 악용한 C&C 트래픽 은닉 기법 분석
Crooks found a new way to collaborate using Teams – by hiding command-and-control traffic
AI 요약
Context
기존 C&C 서버 통신 방식은 공격자 제어 인프라로의 직접 연결로 인해 네트워크 모니터링 도구에 의해 쉽게 탐지되는 한계 존재. 신뢰받는 기업용 협업 툴의 트래픽으로 위장하여 보안 솔루션의 탐지 체계를 우회하려는 시도 증가.
Technical Solution
- Go 기반 커스텀 백도어인 Backdoor.Turn을 통한 지속적 통신 채널 확보
- Microsoft Teams 및 Skype 백엔드 서비스로부터 Anonymous Visitor Token을 요청하여 정당한 접근 권한 획득
- Microsoft 운영 TURN Relay Server를 경유지로 설정하여 트래픽의 출발지를 신뢰할 수 있는 인프라로 위장
- 최종 단계에서 QUIC 프로토콜을 활용해 악성 C&C 서버와 직접 연결을 수립함으로써 통신 효율 및 은닉성 강화
- 정상적인 기업 협업 트래픽 내부에 악성 데이터를 매립하여 보안 제품의 트래픽 분석 무력화
실천 포인트
1. 신뢰 기반의 도메인/IP 화이트리스트 정책을 재검토하고 행위 기반 탐지 모델 도입
2. QUIC 프로토콜과 같은 최신 전송 계층 프로토콜의 비정상적인 트래픽 패턴 분석 체계 구축
3. TURN 서버 등 릴레이 인프라를 통한 우회 접속 경로에 대한 가시성 확보 및 모니터링 강화