클라이언트 보안 악성 소프트웨어 2/2

클라이언트 보안 악성 소프트웨어

웜(Worm)

• 자신을 복제하여 네트워크 연결을 통해서 컴퓨터에서 컴퓨터로 그 복제본 전송. 일단 한 컴퓨터에 도착하게 되면 웜은 복제를 시작하고 확산함
• 확산과 더불어 보통 원하지 않는 기능을 수행함. 전자메일 바이러스는 시스템에서 시스템으로 자신을 확산시키기 때문에 웜의 성격을 가지고 있다고 여겨짐
• 다른 시스템에 직접적인 영향을 미치지 않는다는 점에서 트로이목마와 구분되며, 다른 프로그램에 기생하지 않는다는 점에서 컴퓨터 바이러스와 구분됨

웜 확산 모델

• 확산은 서서히 시작하는 단계, 빠르게 확산하는 단계, 서서히 퍼지면서 종료되는 단계의 3단계로 이루어짐. 감염된 호스트는 각각 두 개의 호스트를 감염시킴. 따라서 감염된 호스트 수는 지수적으로 증가함
• 시간이 지나면서 감염된 호스트는 이미 감염된 호스트를 공격하는 데 시간을 허비하기 때문에 감염 속도가 줄어듦

웜의 실행

• 웜은 전파된 시스템에서 시스템의 접근 권한을 확보하고, 자신을 실행시키기 위해 버퍼 오버플로우(Buffer Overflow), 포맷 스트링(Format String), SQL 삽입(SQL Injection), PHP 삽입(PHP Injection) 등 공격할 수 있는 시스템의 취약점을 이용함
• 시스템의 취약점을 이용하여 관리자 몰래 시스템 접근 권한 확보에 필요한 코드를 실행한 후 접근 권한이 확보되면 나머지 코드를 실행함으로써 의도된 기능을 수행함
• 예를 들어 시스템 접근 권한이 확보되면 웜을 백도어로 설치하거나, DDoS 공격에 사용될 수 있는 봇(Bot) 또는 좀비(Zombie) 프로그램을 다운로드하여 실행할 수 있고, 키로거(Key Logger)와 같은 악성 소프트웨어를 설치할 수도 있음

웜 대응책

• 바이러스와 웜에 대한 대처 기술은 매우 유사함. 웜이 머신 안에 상주하게 되면, 안티 바이러스 소프트웨어는 이를 감지할 수 있음
• 웜 확산이 이뤄지면 네트워크 활동이 활발해지므로, 네트워크 활동과 사용을 모니터링하면 웜에 대한 기본적인 방어 형태를 갖출 수 있음
• 네트워크 기반 웜 방어는 웜 모니터링 소프트웨어임. 한 개 또는 상호 연결된 LAN 집합체로 구성된 사이트의 엔터프라이즈 네트워크에서는 두 가지 유형의 모니터링 소프트웨어가 필요함
• 진입 모니터(Ingress Monitors) : 엔터프라이즈 네트워크와 인터넷 사이의 경계에 위치. 경계 라우터나 외부 침입차단시스템이나 독립된 수동 모니터의 진입 필터링 소프트웨어의 일부
• 진출 모니터(Egress Monitors) : 나가는 트래픽에서 스캐닝의 흔적이나 기타 의심스러운 행동을 모니터링해서 웹 공격의 출처를 잡아내도록 설계됨

트로이목마(Trojan horse)

• 자신의 실체를 드러내지 않으면서 마치 다른 프로그램의 한 유형인 것처럼 가장하여 활동하는 프로그램
• 패치 파일, 안티 바이러스 소프트웨어, 소프트웨어 최신 버전 등과 같이 유용하거나 재미있는 소프트웨어로 가장하여 설치하게 함으로써 다른 시스템으로 침투하는 악성 소프트웨어
• 자기 복제를 하지 않으며 다른 파일을 감염시키거나 변경시키지 않음. 하지만 트로이목마가 포함된 프로그램이 실행되는 순간, 시스템은 공격자에게 시스템을 통제할 수 있는 권한을 부여하게 됨

기능

• 드롭퍼(Trojan-Dropper) : 내부에 포함되어 있던 추가적인 악성코드 설치
• 다운로더(Trojan-Downloader) : 지정된 웹 사이트에 접속하여 추가로 악성코드 다운로드
• 패스워드 스틸러(Trojan-PWS) : 사용자 계정 및 비밀번호 외부 유출
• 프록시(Trojan-Proxy) : 프록시 설정을 변경하거나 프록시를 사용
• 클리커(Trojan-Clicker) : 오류 메시지나 광고를 통해 사용자가 사이트에 접속하도록 유도
• 스파이(Trojan-Spy) : 각종 시스템 정보를 외부로 유출하기 위해 제작
• 익스플로잇(Trojan-Exploit) : 취약점을 통해 감염시키는 것이 주목적

종류와 특징

• 넷 버스(Net Bus) : 가장 사용하기 쉽고 유포하기 쉬움. 12345번 포트 사용
• 백 오리피스(Back Orifice) : 가장 유명하여 제거 도구가 많음. 31337번 포트 사용
• 스쿨 버스(School Bus) : 다른 컴퓨터에 접속하여 대상 컴퓨터를 제어함. 54321번 포트 사용
• ackcmd : 윈도우 2000을 위한 특수한 원격 명령 프롬프트. 5554번 포트 사용
• Executor : 감염된 컴퓨터의 시스템 파일을 삭제하여 시스템을 파괴함. 80번 포트 사용
• Silencer : 제거 도구는 나와 있지 않음. 1001번 포트 사용
• Striker : 감염된 시스템을 사용할 수 없도록 시스템 드라이브 등 하드디스크를 모두 파괴하여 부팅되지 않게 함. 2565번 포트 사용

트로이목마 대응책

• 신뢰할 수 없는 메일의 첨부 파일, 파일 공유 사이트 등의 파일을 확인 없이 설치하지 않는 것이 중요
• 웹 브라우저 등의 취약점을 보완하는 패치를 신속하게 적용하여 최신 상태의 시스템을 유지하고, 안티 트로이목마 도구를 사용하는 것도 유용한 대책이 됨

루트킷(Rootkit)

• 루트 권한을 획득하기 위한 악의적인 의도를 가진 사용자가 사용하는 백도어, 트로이목마 등의 공격 도구 집합체
• 트래픽이나 키스트로크 감시, 네트워크의 다른 컴퓨터 공격, 공격 대상 시스템 내에 백도어 생성, 기존 시스템 도구 수정, 로그 파일 수정, 시스템 흔적 제거 기능이 있음

스파이웨어(Spyware)

• 트로이목마와 비슷한 종류로 스파이웨어가 있음. 민감한 정보를 수집하여 주기적으로 원격지의 특정한 서버에 보내는 프로그램으로, 대상 컴퓨터에 은밀하게 설치되는 악성 소프트웨어의 유형
• 스파이(Spy)와 소프트웨어(ware)의 합성어로, 본래는 어떤 사람이나 조직에 관한 정보를 수집하는 데 도움을 주는 기술을 뜻함
• 수집된 데이터는 신원 도용, 스패밍, 사기 등과 같은 악의적 활동을 위해 사용됨. 스파이웨어는 온라인 브라우징 습관에 대한 정보를 수집하여, 스패머가 표적 광고를 보내는 데 활용되기도 함

기타 악성 소프트웨어

• 기생 바이러스 : 프로그램에 기생해서 자신의 복제를 다른 프로그램으로 확산
• 논리폭탄(Logic Bomb) : 조건이 충족되면 트리거가 작동
• 백도어(트랩 도어) : 기능에 허가받지 않은 접근을 허용하는 프로그램의 변형
• 모바일 코드 : 스크립트, 매크로나 다른 이동성 명령어 같은 소프트웨어로, 서로 성격이 다른 많은 플랫폼으로 옮겨서 실행될 수 있고 똑같은 기능을 수행
• Auto-rooter : 악성 해커 도구로 새로운 시스템에 원격으로 침입할 때 사용하는 툴
• Kit(Virus Generator) : 바이러스를 자동으로 생성하는 도구모음
• 스패머 프로그램 : 원하지 않는 대량의 전자 우편물을 보내는 데 사용
• 플러더(Flooders) : 네트워크 컴퓨터 시스템에 대량의 자료를 보내어 서비스 거부 공격을 감행하는 데 사용하는 코드
• keyloggers : 피해를 본 시스템의 키 입력을 갈취
• 루트킷(Rootkit) : 컴퓨터 시스템에 침입 후 루트 수준의 접근 허락을 얻기 위해 사용하는 해커 도구모음
• 공격킷(Attackkit) : 다양한 번식 방법과 payload 기술을 사용하는 새로운 악성코드를 자동으로 만들어 주는 툴의 모음
• 좀비(Zombie) : 감염된 컴퓨터에서 활성화되는 프로그램으로 다른 컴퓨터에 대한 공격을 시작하는 데 사용
• 애드웨어(Adware) : 소프트웨어에 내장된 광고, 감염 시 팝업 광고가 뜨거나 브라우저가 광고 사이트로 연결
• 크라임웨어(Crimeware) : 온라인을 통해 불법적인 행동(범죄)을 하기 위해 만들어진 프로그램
• 브라우저 하이재커(Browser Hijacker) : 브라우저를 하이재킹하여 홈페이지와 검색 페이지, 툴바를 통제하고 조작하는 프로그램(잘못된 주소를 입력하면 자동으로 해커가 만들어 놓은 사이트로 이동하게 됨)
• 다이얼러(Dialers) : 모뎀이 특정 번호로 연결되도록 하여 전화를 걸 때마다 공격자가 이익을 얻게 만드는 프로그램
• 조크(Joke) : 실제 바이러스는 아니지만 사용자에게 심리적인 위협이나 불안을 조장하는 프로그램
• Hoax/Myth : 남을 속이거나 장난을 목적으로 퍼트리는 가자 바이러스로, 일반적으로 허위 바이러스 경고 메일 형태