악성코드

악성코드 정의  멀웨어(Malware)는 악성 소프트웨어(Maiicious Software)의 줄임말로, 악의적인 목적을 가지고 제작되어 컴퓨터에 악영향을 끼치는 모든 소프 트웨어를 칭함  악성코드의 종류 : 컴퓨터 바이러스(Virus), 웜(Worm), 트로이목마 (Trojan Hores), 스파이웨어(Spyware), 루트킷 (Rootkit)

악성코드에 의한 증상

악성코드에 의한 증상

악성코드 역사  폰 노이만(Von Neumann)은 1949년 자신의 논문 인 “이론과 복잡한 조직＂을 통해 자기복제 코 드의 이론적인 존재 가능성을 언급  1950년대 후반 영국 수학자 펜로즈(Penrose)는 Self-Reproducing Machines라는 리포트를 발표  1970년대 초반 알파넷에서 TENEX 시스템을 겨냥 한 최초의 크리퍼 웜(Creeper Worm)와 리퍼 (Reaper) 등장

악성코드 역사  Elk Cloner

누적 악성코드 수 추정치

악성코드의 주요 사건

악성코드 종류  바이러스(Virus)  웜(Wrom)  트로이목마(Trojan Hores)  백도어(BackDoor)  스파이웨어/애드웨어(Spyware/Adware)  악성 봇(Malicious Bot)  루트킷(RootKit)  크라임웨어(Crimeware)

바이러스(Virus)  컴퓨터 시스템에 침투하여 숙주 컴퓨터의 프로그램이나 파일을 변형  자기 복제를 통하여 다른 대상을 감염  전자메일, 매크로, 인터넷 웹페이지, USB로 전 파

웜(Worm)  바이러스와 유사하지만 웜은 파일과는 독립적으로 실행

트로이목마(Trojan Hores)  트로이 전쟁에서 사용된 목마처럼 겉보기엔 유 용한 프로그램처럼 보이지만 실제로는 해킹 기 능을 가진 악성 프로그램

백도어(BackDoor)  원래 시스템의 유지 보수나 유사시의 문제 해결 을 위해 시스템 관리자가 보안 설정을 우회하여 시스템에 접근할 수 있도록 만든 도구  최근에는 악의적인 목적을 갖는 공격자들이 시 스템에 재침입이 용이하도록 이용하는 도구를 의미

스파이웨어/애드웨어  원래는 미국의 광고회사인 라디에이트사가 광고 를 보고 있는지 알아보기 위해 개발한 도구  최근에는 목적이 변질되어 사용자의 개인정보 유출, 특정 사이트 강제 접속, 홍보 배너 출력, 심한 경우 컴퓨터의 입출력 내용까지도 수집

악성 봇(Malicious Bot)  감염된 컴퓨터에서 일반 프로세스처럼 존재  스스로 움직이지 않고 공격자가 원격으로 제어 할 수 있는 악성코드  주로 DDoS 좀비 PC로 사용

루트킷(RootKit)  루트킷은 전통적인 UNIX 시스템에서 관리자 계 정을 뜻하는 Root와 소프트웨어 컴포넌트를 뜻 하는Kit의 합성어  컴퓨터의 관리자 권한을 유지하고 자신의 존재 를 운영체제 또는 다른 프로그램으로부터 숨김  운영체제 구동 전에 기능이 활성화  안티 바이러스 및 탐지 도구를 통해 자신을 검사하는 것을 제지

크라임웨어(Crimeware)  사용자의 금융정보를 유출하여 현금 계좌 인출 또는 계좌 이체 등을 수행하거나 매신저 등을 이용한 피싱 행위를 위한 악성코드  금전적 이익을 위해 동작하는 점에서 기존 악성 코드와 다름

악성코드 피해 동향

악성코드 관련 동향

악성코드 관련 동향 2012. 11 ~ 2013. 1

악성코드 관련 동향 2012. 11 ~ 2013. 1

사회공학적 기법을 이용한 공격  2009년 마이클 잭슨 죽음 관련, 2010년 폴란드 대통령 탑승 비행기 추락사고 등 최근 이슈 및 가십을 이용한 공격이 증가  단시간내 많은 사용자들을 감염시킬 수 있음  최근에는 SNS(Social Network Service)의 이용 이 증가하면서 페이스북, 트위터 등의 서비스를 통해서 사회공학적 기법을 사용하는 추세

사용자 유도 방식  허위 안티바이러스 프로그램 설치 후 허위 경고 창을 출력하여 결제를 유도하는 방식  시스템 진단 유틸리티를 가장하여 허위 경고창 을 출력한 후 결제를 유도하는 방식

웹사이트를 통한 악성코드 삽입  정상적인 서비스를 제공하는 웹사이트 해킹 후 악성코드 유포사이트로 변질  변질된 사이트를 통하여 사용자에게 악성코드를 유포할 수 있어 단시간에 수많은 감염 PC를 양 산

DDoS 공격

대량의 악성 봇(Bot)감염  악성코드들은 때론 PC를 감염시켜 악성 봇을 만들어 제 2의 공격에 악용  악성 봇이 된 PC들은 좀비 PC라고 불림  좀비 PC는 시스템 정보를 외부로 유출하거나 DDoS 공격에 악용

제로데이(Zero-Day)공격  프로그램 취약점이 발견된 이 후, 보안 패치가 이루어지기 이전에 해당 취약점을 이용하여 공 격을 수행하는 악성코드  ActiveX와 익스플로러가 주요 타깃이었지만, 최근 제로데이는 마이크로소프트사의 오피스 제품군과 플래시 플레이어 등으로 옮겨져 감염 경로가 더욱 다양해짐

표적 공격(Targeted Attack)  불특정 다수를 대상으로 하는 일반 악성코드와 다르게 표적 공격은 특정 기관의 정보 탈취 및 제어를 목적으로 하기 때문에 불필요한 시스템 파괴나 이상행위를 일으키지 않음  표적 공격은 높은 수준의 지식을 가지고 제작될 가능성이 높으며 공개되지 않은 공격 기술을 사용할 경우 보통 장기간의 시간이 소요

모바일 악성코드  전파 방법 및 행위에서 기존 PC 기반 악성코드 와 차이점이 있음  블루투스(Bluetooth)나 멀티미디어 메시지(MMS) 등을 통하여 감염되고 감염된 모바일 디바이스 에서는 시스템 파괴, 가용성 저하, 금전적 피해 또는 개인 정보 유출 등이 일어날 수 있음

Advanced Persistent Threat(APT)  악성코드를 사용해서 정보를 훔치는 그룹을 칭 함  APT 공격을 수행하기 위해서는 높은 수준의 공 격 기술과 지속적인 공격행위를 진행할 수 있는 행동력이 필요  정치적 목적을 지니고 정부 기관이나 대형 기업 을 대상으로 기밀문서 유출, 기간 산업 방해 등 을 수행

컨픽커(Conficker)  2008년에 최초로 알려졌으며 다양한 형태의 변 종 악성코드가 존재하는 악성코드  감염 플랫폼에서 특정 웹사이트를 접속하도록 만드는 악성코드  컨픽커는 감염 플랫폼이 자신을 치료하지 못하 도록 만들기 위해 DNS 정보중 안티바이러스 업 체 또는 마이크로소프트와 같은 특정 문자열이 들어간 홈페이지 접속을 차단하여 치료를 방해

웨일덱(Waledac)  전자우편을 통해 전파되며, 감염된 시스템에서 스팸메일을 대량으로 발송하여 네트워크 트래픽 을 증가시키는 악성코드  발렌타인데이라는 관련 문구를 삽입하여 사용자 의 클릭을 유도 후 설치되는 특성이 있어 ‘발렌타인데이 웜＇이라고 불림

IRC 봇(IRC Bot)  윈도우 취약점, 네트워크 공유 폴더, USB 등을 통하여 전파되며 시스템 날짜를 변경하는 악성코드  시스템 날짜를 변경함으로써 정상적인 서비스를 제공받을 수 없게 되며, 특정 IRC 서버에 접속 하여 백도어를 설치하기도 함

네이트온  네이트온 메신저를 통해 전파되는 악성코드

조커(Joker)  엑셀 파일을 실행할 때마다, 다른 엑셀 문서를 감염시키는 악성코드로, 특정 시간에 파일을 삭제한 것처럼 속이는 메시지를 송출

클램피(Clampi)  주로 SNS나 메신저를 통해 전파되는 악성코드  영어권 사용 국가의 은행을 타깃으로 하는 악성코드

델프(Delf)  어도비(Adobe) 제품의 취약점을 이용한 악성코 드  감염된 PC는 검은 화면만 출력 및 부팅 장애 발생

지봇(Zbot)  스팸메일 또는 해킹사이트를 통하여 전파되는 악성코드로 어도비(Adobe)사 제품의 취약점을 통해 허위 PDF 파일을 제작하여 PC를 감염

허위 보안툴  허위 안티바이러스 프로그램으로 위장한 악성 코드로 시스템의 주요 파일을 패치한뒤 사용자 에게 요금 결제를 유도하는 악성코드

AntiVirus XP 2010  안티바이러스 프로그램으로 위장한 악성코드로 실행 시 윈도우 업데이트를 가장한 허위 업데이 트를 실시하며 지속적인 트레이창을 팝업하여 치명적인 악성코드에 감염된 것처럼 사용자를 속여 결제를 유도

스턱스넷(Stuxnet)  특정 프로그램을 타깃으로 하는 악성코드로서 독일 지맨스의 산업 자동화 시스템인 WinCC SCADA 시스템에서 작동하는 악성코드  최근에는 특정 프로그램을 겨냥한 악성코드가 발견되기도 함

팔레보(Palevo)  좀비 PC를 만들어내는 대표적인 웜  버터플라이(ButterFly)라는 악성코드 생성 툴에 의해 자동으로 생성

난독화

패킹(Packing 실행 파일 압축)  패킹이란 PE(Portable executable)형식으로 배 포되는 프로그램을 리버싱 및 용량을 줄이기 위 해 사용하는 방식을 말함  악성코드 개발자는 자신이 개발한 악성코드가 쉽게 탐지되는 것을 방지하기 위해 악성코드를 패킹하여 유포

안티-디버거(Anti-Debugger)  악성코드를 분석하는 것을 방해하기 위해서 디버깅이 수행되지 못하도록 함  디버거가 실행될 때 이를 탐지하여 다른 행위를 하거나 디버거의 실행을 종료시키는 등 다양한 방식을 사용

안티-가상화(Anti-VM)  악성코드 분석 기법중 하나인 가상환경에서의 악성코드 분석 기술을 우회하는 방식  안티-가상화는 가상머신 환경의 특징을 탐색하 여 악성코드가 수행될 플랫폼이 가상환경인지 판단  프로세스, 파일 시스템, 레지스트리 요소 탐지 와 메모리 요소 탐지, 가상 하드웨어 주변장치 로 탐지하는 방법

시한폭탄 방식  클라이언트 허니팟과 웹크롤러의 단점을 이용  자동화된 악성코드 탐지 기술을 회피하기 위하 여 웹사이트 방문시 특정 시간 이후에 악성코드 가 실행되게 하며 자동화된 악성코드 수집 프로 그램을 우회할 수 있음

악성코드 대량 삽입 기술  웹사이트를 사용하여 악성코드를 대량으로 유포  감염되는 웹사이트는 주로 SQL 인젝션을 사용하여 감염

악성코드 모듈화

악성코드 은닉화

악성코드 대응 전략

Thank you