Transcript 악성코드1
악성코드
악성코드 정의 멀웨어(Malware)는 악성 소프트웨어(Maiicious Software)의 줄임말로, 악의적인 목적을 가지고 제작되어 컴퓨터에 악영향을 끼치는 모든 소프 트웨어를 칭함 악성코드의 종류 : 컴퓨터 바이러스(Virus), 웜(Worm), 트로이목마 (Trojan Hores), 스파이웨어(Spyware), 루트킷 (Rootkit)
악성코드에 의한 증상
악성코드에 의한 증상
악성코드 역사 폰 노이만(Von Neumann)은 1949년 자신의 논문 인 “이론과 복잡한 조직"을 통해 자기복제 코 드의 이론적인 존재 가능성을 언급 1950년대 후반 영국 수학자 펜로즈(Penrose)는 Self-Reproducing Machines라는 리포트를 발표 1970년대 초반 알파넷에서 TENEX 시스템을 겨냥 한 최초의 크리퍼 웜(Creeper Worm)와 리퍼 (Reaper) 등장
악성코드 역사 Elk Cloner
누적 악성코드 수 추정치
악성코드의 주요 사건
악성코드 종류 바이러스(Virus) 웜(Wrom) 트로이목마(Trojan Hores) 백도어(BackDoor) 스파이웨어/애드웨어(Spyware/Adware) 악성 봇(Malicious Bot) 루트킷(RootKit) 크라임웨어(Crimeware)
바이러스(Virus) 컴퓨터 시스템에 침투하여 숙주 컴퓨터의 프로그램이나 파일을 변형 자기 복제를 통하여 다른 대상을 감염 전자메일, 매크로, 인터넷 웹페이지, USB로 전 파
웜(Worm) 바이러스와 유사하지만 웜은 파일과는 독립적으로 실행
트로이목마(Trojan Hores) 트로이 전쟁에서 사용된 목마처럼 겉보기엔 유 용한 프로그램처럼 보이지만 실제로는 해킹 기 능을 가진 악성 프로그램
백도어(BackDoor) 원래 시스템의 유지 보수나 유사시의 문제 해결 을 위해 시스템 관리자가 보안 설정을 우회하여 시스템에 접근할 수 있도록 만든 도구 최근에는 악의적인 목적을 갖는 공격자들이 시 스템에 재침입이 용이하도록 이용하는 도구를 의미
스파이웨어/애드웨어 원래는 미국의 광고회사인 라디에이트사가 광고 를 보고 있는지 알아보기 위해 개발한 도구 최근에는 목적이 변질되어 사용자의 개인정보 유출, 특정 사이트 강제 접속, 홍보 배너 출력, 심한 경우 컴퓨터의 입출력 내용까지도 수집
악성 봇(Malicious Bot) 감염된 컴퓨터에서 일반 프로세스처럼 존재 스스로 움직이지 않고 공격자가 원격으로 제어 할 수 있는 악성코드 주로 DDoS 좀비 PC로 사용
루트킷(RootKit) 루트킷은 전통적인 UNIX 시스템에서 관리자 계 정을 뜻하는 Root와 소프트웨어 컴포넌트를 뜻 하는Kit의 합성어 컴퓨터의 관리자 권한을 유지하고 자신의 존재 를 운영체제 또는 다른 프로그램으로부터 숨김 운영체제 구동 전에 기능이 활성화 안티 바이러스 및 탐지 도구를 통해 자신을 검사하는 것을 제지
크라임웨어(Crimeware) 사용자의 금융정보를 유출하여 현금 계좌 인출 또는 계좌 이체 등을 수행하거나 매신저 등을 이용한 피싱 행위를 위한 악성코드 금전적 이익을 위해 동작하는 점에서 기존 악성 코드와 다름
악성코드 피해 동향
악성코드 관련 동향
악성코드 관련 동향 2012. 11 ~ 2013. 1
악성코드 관련 동향 2012. 11 ~ 2013. 1
사회공학적 기법을 이용한 공격 2009년 마이클 잭슨 죽음 관련, 2010년 폴란드 대통령 탑승 비행기 추락사고 등 최근 이슈 및 가십을 이용한 공격이 증가 단시간내 많은 사용자들을 감염시킬 수 있음 최근에는 SNS(Social Network Service)의 이용 이 증가하면서 페이스북, 트위터 등의 서비스를 통해서 사회공학적 기법을 사용하는 추세
사용자 유도 방식 허위 안티바이러스 프로그램 설치 후 허위 경고 창을 출력하여 결제를 유도하는 방식 시스템 진단 유틸리티를 가장하여 허위 경고창 을 출력한 후 결제를 유도하는 방식
웹사이트를 통한 악성코드 삽입 정상적인 서비스를 제공하는 웹사이트 해킹 후 악성코드 유포사이트로 변질 변질된 사이트를 통하여 사용자에게 악성코드를 유포할 수 있어 단시간에 수많은 감염 PC를 양 산
DDoS 공격
대량의 악성 봇(Bot)감염 악성코드들은 때론 PC를 감염시켜 악성 봇을 만들어 제 2의 공격에 악용 악성 봇이 된 PC들은 좀비 PC라고 불림 좀비 PC는 시스템 정보를 외부로 유출하거나 DDoS 공격에 악용
제로데이(Zero-Day)공격 프로그램 취약점이 발견된 이 후, 보안 패치가 이루어지기 이전에 해당 취약점을 이용하여 공 격을 수행하는 악성코드 ActiveX와 익스플로러가 주요 타깃이었지만, 최근 제로데이는 마이크로소프트사의 오피스 제품군과 플래시 플레이어 등으로 옮겨져 감염 경로가 더욱 다양해짐
표적 공격(Targeted Attack) 불특정 다수를 대상으로 하는 일반 악성코드와 다르게 표적 공격은 특정 기관의 정보 탈취 및 제어를 목적으로 하기 때문에 불필요한 시스템 파괴나 이상행위를 일으키지 않음 표적 공격은 높은 수준의 지식을 가지고 제작될 가능성이 높으며 공개되지 않은 공격 기술을 사용할 경우 보통 장기간의 시간이 소요
모바일 악성코드 전파 방법 및 행위에서 기존 PC 기반 악성코드 와 차이점이 있음 블루투스(Bluetooth)나 멀티미디어 메시지(MMS) 등을 통하여 감염되고 감염된 모바일 디바이스 에서는 시스템 파괴, 가용성 저하, 금전적 피해 또는 개인 정보 유출 등이 일어날 수 있음
Advanced Persistent Threat(APT) 악성코드를 사용해서 정보를 훔치는 그룹을 칭 함 APT 공격을 수행하기 위해서는 높은 수준의 공 격 기술과 지속적인 공격행위를 진행할 수 있는 행동력이 필요 정치적 목적을 지니고 정부 기관이나 대형 기업 을 대상으로 기밀문서 유출, 기간 산업 방해 등 을 수행
컨픽커(Conficker) 2008년에 최초로 알려졌으며 다양한 형태의 변 종 악성코드가 존재하는 악성코드 감염 플랫폼에서 특정 웹사이트를 접속하도록 만드는 악성코드 컨픽커는 감염 플랫폼이 자신을 치료하지 못하 도록 만들기 위해 DNS 정보중 안티바이러스 업 체 또는 마이크로소프트와 같은 특정 문자열이 들어간 홈페이지 접속을 차단하여 치료를 방해
웨일덱(Waledac) 전자우편을 통해 전파되며, 감염된 시스템에서 스팸메일을 대량으로 발송하여 네트워크 트래픽 을 증가시키는 악성코드 발렌타인데이라는 관련 문구를 삽입하여 사용자 의 클릭을 유도 후 설치되는 특성이 있어 ‘발렌타인데이 웜'이라고 불림
IRC 봇(IRC Bot) 윈도우 취약점, 네트워크 공유 폴더, USB 등을 통하여 전파되며 시스템 날짜를 변경하는 악성코드 시스템 날짜를 변경함으로써 정상적인 서비스를 제공받을 수 없게 되며, 특정 IRC 서버에 접속 하여 백도어를 설치하기도 함
네이트온 네이트온 메신저를 통해 전파되는 악성코드
조커(Joker) 엑셀 파일을 실행할 때마다, 다른 엑셀 문서를 감염시키는 악성코드로, 특정 시간에 파일을 삭제한 것처럼 속이는 메시지를 송출
클램피(Clampi) 주로 SNS나 메신저를 통해 전파되는 악성코드 영어권 사용 국가의 은행을 타깃으로 하는 악성코드
델프(Delf) 어도비(Adobe) 제품의 취약점을 이용한 악성코 드 감염된 PC는 검은 화면만 출력 및 부팅 장애 발생
지봇(Zbot) 스팸메일 또는 해킹사이트를 통하여 전파되는 악성코드로 어도비(Adobe)사 제품의 취약점을 통해 허위 PDF 파일을 제작하여 PC를 감염
허위 보안툴 허위 안티바이러스 프로그램으로 위장한 악성 코드로 시스템의 주요 파일을 패치한뒤 사용자 에게 요금 결제를 유도하는 악성코드
AntiVirus XP 2010 안티바이러스 프로그램으로 위장한 악성코드로 실행 시 윈도우 업데이트를 가장한 허위 업데이 트를 실시하며 지속적인 트레이창을 팝업하여 치명적인 악성코드에 감염된 것처럼 사용자를 속여 결제를 유도
스턱스넷(Stuxnet) 특정 프로그램을 타깃으로 하는 악성코드로서 독일 지맨스의 산업 자동화 시스템인 WinCC SCADA 시스템에서 작동하는 악성코드 최근에는 특정 프로그램을 겨냥한 악성코드가 발견되기도 함
팔레보(Palevo) 좀비 PC를 만들어내는 대표적인 웜 버터플라이(ButterFly)라는 악성코드 생성 툴에 의해 자동으로 생성
난독화
패킹(Packing 실행 파일 압축) 패킹이란 PE(Portable executable)형식으로 배 포되는 프로그램을 리버싱 및 용량을 줄이기 위 해 사용하는 방식을 말함 악성코드 개발자는 자신이 개발한 악성코드가 쉽게 탐지되는 것을 방지하기 위해 악성코드를 패킹하여 유포
안티-디버거(Anti-Debugger) 악성코드를 분석하는 것을 방해하기 위해서 디버깅이 수행되지 못하도록 함 디버거가 실행될 때 이를 탐지하여 다른 행위를 하거나 디버거의 실행을 종료시키는 등 다양한 방식을 사용
안티-가상화(Anti-VM) 악성코드 분석 기법중 하나인 가상환경에서의 악성코드 분석 기술을 우회하는 방식 안티-가상화는 가상머신 환경의 특징을 탐색하 여 악성코드가 수행될 플랫폼이 가상환경인지 판단 프로세스, 파일 시스템, 레지스트리 요소 탐지 와 메모리 요소 탐지, 가상 하드웨어 주변장치 로 탐지하는 방법
시한폭탄 방식 클라이언트 허니팟과 웹크롤러의 단점을 이용 자동화된 악성코드 탐지 기술을 회피하기 위하 여 웹사이트 방문시 특정 시간 이후에 악성코드 가 실행되게 하며 자동화된 악성코드 수집 프로 그램을 우회할 수 있음
악성코드 대량 삽입 기술 웹사이트를 사용하여 악성코드를 대량으로 유포 감염되는 웹사이트는 주로 SQL 인젝션을 사용하여 감염
악성코드 모듈화
악성코드 은닉화
악성코드 대응 전략
Thank you