1. 악성코드(악성 프로그램, Malware)
- Malicious software의 약자
- 사용자의 정보 유출, 시스템 파괴 등의 해를 끼치기 위해 만들어진 코드.
- 바이러스, 트로이목마(Trojan horse), 웜(Worm), 백도어, 악성 봇(Bot), 스파이웨어(Spyware), Hijacker, 키로거(Keylogger), 루트킷 등이 있음.
- 동작 방법에 따라 독립형, 기생형으로 분류
독립형: 하나의 프로그램으로 스케쥴링되어 실행됨. 예: 웜, 좀비프로그램 등
기생형: 프로그램의 일부로써 동작함. 예: 바이러스, 백도어 등
- 자기 복제 여부에 따라 바이러스성, 비-바이러스성으로 분류
바이러스성: 웜, 바이러스같이 스스로를 복제함. 바이러스는 데이터 또는 프로그램 파괴를 위해 다른 프로그램을 감염시킴.
웜은 자체 실행 코드를 네트워크를 통해 복제, 전파 시킴(감염은 못시킴.).
2. 바이러스
- 정상파일을 감염시키는 형태로 실행되며, 대상이 없으면 실행되지 않음. 감염 파일에서 다른 정상파일로의 자기 복제 기능을 가지고 있지만
네트워크를 통해 전파되지는 않음.
- 감염시키는 방식 및 위치에 따라 부트바이러스, 파일 바이러스, 메모리 상주 바이러스, 매크로 바이러스 등이 존재함.
- 부트 바이러스: 부트섹터(MBR)를 감염 시켜 부팅 될 때 바이러스가 퍼지거나 파일 감염시켜 OS나 쉘이 실행 될 때 퍼짐.
- 매크로 바이러스: 워드 문서 같은 것을 감염 시킴.
- 분류
원시형: 간단한 초창기 바이러스
암호화: 백신이 진단 할수 없게 암호화 시킨 바이러스
은폐형: 기억장소에 있으면서 감염된 파일 크기가 증가되지 않은 것처럼 하는 것. 백신 프로그램이 크기를 읽을 때 감염이전의 내용을 보여줌.
갑옷형: 여러 단계의 암호화 및 다양한 기법으로 분석을 어렵게 함.
매크로: 현재 많이 사용되며 다양한 프로그램에서 활동함. 플랫폼과 무관하고, 문서를 감염시키며, 쉽게 퍼짐. 트로이목마를 함께 심어 공격 가능.
- 대응
window script host(윈도우 가상화 기술)
activeX, vbscript, javascript 같은 것들 비활성화
정책 수립 및 백신 사용
3. 웜(worm)
- 감염시킬 대상이 없어도 독자적으로 실행가능하며, 자가복제 및 네트워크를 통한 전파 가능.
- 웜은 첨부파일을 추가하여 메일을 전송할 수도 있으며, 계속적인 전송으로 인해 네트워크의 트래픽을 증가시킬 수도 있음.
- 웜이 들어있는 파일을 다운로드되면 컴퓨터에 백도어를 설치할 수도 있음. 자기 복제력이 뛰어나 한번 컴퓨터에 감염되면 수백개씩 백신에 검출되는 경우가 있음.
- 감염되면 다른 기계 공격을 하는데 사용되는 경우가 많음. DDoS 준비작업에 사용됨.
- 분류
mass mailer형: 자신을 복제한 대량 메일 발송으로 확산. 제목이 없어나 특정 제목으로 전송.
치료안하면 계속 기생하면서 메일 보냄. SMTP 서버(tcp 25번 포트)의 네트워크 트래픽 증가.
넷 스카이는 CSRSS.exe 파일 만듦(콘솔 관리, 쓰레드 생성, 삭제, ms dos 콘솔 지원하는 프로세스)
시스템 공격형: 컴퓨터 시스템 공격. windows, system32,에 svchost.exe(DLL에 의해 실행되는 프로세스의 기본 프로세스,
웜/바이러스나 백도어가 사용하는 서비스명은 Csrss와 svchost) 생성, 시스템 파일 삭제, 정보 유출 가능
네트워크 공격형: DoS 공격 수행
- 대응
백신.
진입(ingress) 모니터링 프로그램(네트워크와 인터넷 사이의 경계에서 필터역할).
진출(egress) 모니터 프로그램(나가는 트래픽 스캐닝하여 출처를 잡음).
4. 트로이목마
- 자신은 숨기고 마치 다른 프로그램인 것처럼 가장하여 활동하는 프로그램.
- 대게 이메일을 통해 유포되며, P2P에서 자신도 모르게 다운 받거나, ActiveX로 배포되어 사용자가 다운받도록 하는 방법으로도 퍼짐.
- 감염, 파일 변경은 없지만 실행되면 시스템은 공격자에게 시스템 통제 권한을 부여함.
- 데이터 파괴, 분산 서비스 공격, 개인 정보 유출 등에 사용.
- 모바일 폰 트로이 목마: 아이폰 탈옥 같은 것이 취약점을 이용한 방법.
- 대응
모르는 사람에게 온 이메일 열지 말고, 첨부파일도 다운받지 말것.
P2P사이트 이용 자제.
ActiveX 설치는 반드시 신뢰할 수 있는 사이트인지를 확인한 후 할것.
백신을 이용한 실시간 감시.
5. 백도어(Backdoor)
- 보통 시스템 제작자가 시스템의 유지보수 시 원격으로 접속해 문제 해결을 위해 마련해둔 통로.
- 현재는 해커가 이미 장악한 PC에 다음번 침입을 쉽게 하기위해 설치하는 통로로써 사용됨.
- 다른 악성코드와 함께 감염되며, 백도어는 해커가 접속하는 통로로 이용됨.
6. 스파이웨어
- 트로이목마와 비슷하며 사용자의 개인정보, 금융정보 등을 빼내는 프로그램.
- 미국의 인터넷 광고전문회사인 라디에이트(Radiate)에서 개인 사용자의 취향을 파악하기 위하여 처음 개발되었고,
초기에는 사용자의 컴퓨터에 번호를 매겨 몇 명의 사용자가 광고를 보고 있는지를 알기 위한 단순한 것이었음.
어떤 사람이나 조직에 관한 정보를 수집하는데 도움을 주는 프로그램(예: 제휴 프로그램, 광고 프로그램) 또는 모듈을 뜻하며,
광고나 마케팅을 목적으로 배포하는게 대부분이어서 애드웨어(adware)라고도 불림.
- 사용자에게 동의를 구하냐 그렇지 않느냐에 따라 스파이웨어(동의 없음) 또는 애드웨어(동의 구함)가 됨.
- 프리웨어 또는 ActiveX 설치 시 함께 설치됨.
- 최근에는 웹사이트 방문 시 이용자도 모르게 자동으로 프로그램을 설치하거나 윈도우의 설정 정보를 담고 있는 레지스트리에 특정 사이트 주소를 넣어 두었다가
해당 사이트로 이동하도록 하는 방식의 스파이웨어가 문제가 되고 있으며, 악의적인 정보의 도용 및 활용으로 인해 사회적 문제가 발생 됨.
- 한국정보보호진흥원(KISA)에 따르면 정보의 훼손과 침해, 도용, 정보공개 철회요구 불응,
법정 대리인의 동의 없는 어린이 개인정보 수집 등의 사례가 신고되고 있다고 함.
- 네이버 캐스트 서동민 기자 글에 따르면, 2005년 구 정보통신부에서는 스파이웨어를 아래 내용으로 규정 함.
첫째로 웹브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위,
둘째로 정상 프로그램의 운영을 방해 및 중지하거나 삭제하는 행위,
셋째로 정상 프로그램의 설치를 방해하는 행위,
넷째로 다른 프로그램을 내려받아 설치하게 하는 행위,
다섯째로 운영체제 또는 타 프로그램의 보안 설정을 제거하거나 낮게 변경하는 행위,
여섯째로 이용자가 프로그램을 제거하거나 종료시켜도 해당 프로그램이 제거되거나 종료되지 않는 행위,
일곱째로 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집 및 전송하는 행위를 하는 녀석을 스파이웨어로 규정하고 있습니다.
- 하이재커는 스파이웨어와 같은 것.
사용자의 시스템 설정을 임의로 변경하는 행위를 하는걸 하이재커라고 하는데 스파이웨어와 기능상 똑같음.
- 예방법은 트로이 목마와 같다.
7. 악성 봇(Malicious Bot)
- 스스로 실행되지 못하고, 해커의 명령에 의해 원격에서 제어 또는 실행이 되는 프로그램.
- 주로 취약점이나 백도어 등을 이용하여 전파되며, 스팸 메일 전송이나 분산 서비스 거부 공격(DDoS) 등에 악용됨.
- 예: 좀비PC
8. 키로거(Keylogger)
- 키후커 (Key Hooker) 라고 부르기도 하며 키보드를 통해 입력되는 키값을 유출시켜 저장하며 특정 이메일로 저장된 기록을 전송하기도 하는 프로그램.
- http://blog.alyac.co.kr/49
- http://cosyp.tistory.com/163
- http://cosyp.tistory.com/163
댓글 없음:
댓글 쓰기