1. 백도어 (Backdoor)

<aside> 👉

공격자가 시스템에 몰래 들어가기 위해 만든 비밀 통로

✅ 정의

• 정상적인 인증 과정을 우회해서 시스템에 숨겨진 접근 경로를 만드는 악성 프로그램 또는 기법

✅ 목적

• 추후 재접속, 명령 실행, 데이터 탈취, 권한 유지 등을 가능하게 하기 위해 설치

✅ 예시

• 공격자가 리눅스 서버에 백도어 설치 → 나중에 명령을 내려 재침투
• 공격 후 C2 연결용으로 남겨놓는 Reverse Shell, WebShell, BPF 기반 백도어 등

✅ 특징

• 눈에 띄지 않도록 은닉 (서비스 등록 없이 실행, 프로세스명 위장 등)
• 자동 실행 (부팅 시 시작), 무소음 작동 </aside>

2. C2 (Command and Control)

<aside> 👉

공격자 ↔ 침해된 시스템 간 통신 채널, 백도어에 명령을 내리는 원격 통신 구조

✅ 정의

• 감염된 시스템이 명령을 받거나 결과를 전송하는 서버 또는 채널
• 공격자는 C2를 통해 파일 업로드/다운로드, 스크립트 실행, 탐지 우회 명령 수행 등을 할 수 있음

✅ 구성 방식

• HTTP/HTTPS, DNS, FTP 등 다양한 프로토콜로 C2 구성 가능
• 최근에는 포트 없이 패킷 감지 방식(BPFDoor), Telegram, Slack, Discord 등 메신저 기반도 사용됨

✅ 예시

• Python C2 서버 ↔ 클라이언트 백도어가 정기적으로 C2에 접속하여 명령 수신
• 공격자가 특정 패킷을 보내면 리눅스 백도어가 이를 감지하고 작동 </aside>

3. 행위 기반 탐지 (Behavior-based Detection)

<aside> 👉

프로그램이나 프로세스의 행동 패턴을 분석하여 악성 활동을 식별하는 탐지방법

✅ 정의

• 파일 자체의 특징이 아닌, 시스템 내에서 실행 중 나타나는 행동 패턴을 기반으로 악성 여부 판단
• 단순 정적 분석(Signature Matching)을 넘어, 이상한 행위를 포착함

✅ 주요 탐지 요소

• 권한 상승 시도
• 메모리 인젝션
• 레지스트리/서비스 수정
• 비정상 네트워크 통신

✅ 예시

• PowerShell이 메모리에 파일 없이 악성 스크립트 실행 → 의심 행동으로 탐지
• 백도어가 외부 서버와 주기적으로 통신하며 명령 수신 → 이상 네트워크로 탐지

✅ 장점

• 새로운 변종 악성코드나 무파일(Fileless) 공격에도 대응 가능

✅ 단점

• 오탐 가능성 있음 → 룰 튜닝 필요 </aside>