멀웨어
악성코드는 의도적이고 악의적 프로그램이나 매크로와 같은 생존 가능한 모든 형태를 말합니다.
역사
– 최초의 바이러스
– 뇌 바이러스
– 최초의 벌레
– 모리스 웜
– 매크로 바이러스
– 멜리사 바이러스
매크로는 Microsoft Excel 또는 Word에 존재하는 일종의 자동화 프로그램입니다.
악성코드 분류
운동에 의한 분류
바이러스
– 복제 및 감염
– 자신을 퍼뜨리지 않는다
– 프로그램 형식(.exe 등)
벌레
– 일반적인 바이러스와 달리 네트워크를 이용하여 자신의 복사본을 전파
– 자기 복제를 이용하여 네트워크 손상 및 파일을 악의적으로 암호화하는 등
– 일부 웜은 악성 백도어 프로그램도 유포합니다.
트로이 목마
– 사용자의 컴퓨터에 침투하여 제어
– 고의로
– 다른 파일에 자신을 복사하지 마십시오.
– 자신을 퍼뜨리지 않는다
새끼
– 치명적이지는 않으나 불편함
– 광고 등
목적별 분류
애드웨어
광고를 위해
스파이웨어
타인의 정보를 수집하기 위해
랜섬웨어
인질을 몸값으로 삼아 돈을 벌기 위해 정보를 훔치는 행위
봇
한방에 지정된 공격을 수행하려면
바이러스
1세대
원시 바이러스(자기 복제 + 데이터 파괴)
– 부트 바이러스(부팅 후 모든 프로그램 감염)
– 파일 바이러스
2세대
암호화 바이러스
– 바이러스 코드 암호화
– 암호화된 바이러스 코드가 있을 경우 앞면에는 복호화 알고리즘이 뒷면에는 복호화 키가 있음
– 바이러스 작동 중 RAM의 암호 해독
3세대
잠복 바이러스(스텔스 바이러스)
– 바이러스에 감염된 파일은 일정 기간 잠복기를 가지도록 함
– 바이러스가 확산되기 전에 활성화되면 다른 시스템으로 확산되기 어렵기 때문에 잠복기가 있습니다.
4세대
– 특수 식별자로 바이러스를 식별하고 기능을 우회하는 데 사용
– 프로그램이 실행될 때마다 바이러스 코드 자체를 변경식별자를 구별하기 어려움
– 제작 및 진단이 어려움
5세대
MS Office 프로그램의 매크로 기능에 의해 감염되는 바이러스
6세대
– 스크립트 형태로 제작
– 웹, 네트워크, 메일을 이용한 전파
– 사용자 정보를 훔쳐 백도어 기능을 가진 웜으로 진화
벌레
성장하는 것이 목적
– 매스 메일러 웜
– 다량의 메일 발송으로 확산
– 네트워크 공격 웜
– 파급효과가 커서 지속적인 패치 필요
– 좀비 봇을 확산시켜 공격
– smurf(IP를 스푸핑하고 패킷을 브로드캐스트 주소로 전송)
– SYN Flooding (TCP 접속 과정의 취약점을 이용한 공격)
트로이 목마
– 기생하지 않음
– 자신을 퍼뜨리지 않는다
– 백도어 사용
– 사회 공학적 기법 사용(보안 기술이 아닌, 사람들을 속여 비밀 정보를 얻도록 하는 기법)
새끼(잠재적인 원하지 않는 프로그램)
– 사용자에게 직접 또는 간접적으로 동의를 구하되, 작은 형태로
– 치명적이지는 않으나 불편함
악성코드 탐지/대책
– 네트워크 상태 확인
– 서비스 포트 확인 (명령창에 ‘net stat’ 명령어 입력 후 연결된 포트 번호 확인)
그래도 중요한 것은 지속적인 패치입니다.