[사이버 보안] 악성코드와 SW보안(1) - 바이러스, 웜, 트로이목마, 사회공학보안공격

이 글은 2024-1 ㅇ화여대  (인실 도 교수님의)  사이버보안개론 (수업자료를 참고하였음을 밝힙니다.

 

몬가.. 악한 내용들인데 이름들이 죰 귀엽다.. 웜..모리스웜.. 외우기 쉬워서 다행이다

 

🦠악성코드(Malicious code)

: 악성 행위를 위해 개발된 컴퓨터 프로그램 또는 SW (=악성SW, 멀웨어)

*랜섬웨어 : 피해자 PC의 중요 파일들을 불법으로 암호화하고 풀어주는 대가로 돈을 요구

 

 

🦹🏻종류와 특징

 

 

종류들을 자세히 하나씩 알아보자! 

 

 

 

1 바이러스(Virus)

: 자기 자신을 다른 프로그램 내부에 복제하는 프로그램. 

- 숙주 프로그램 실행 시 같이 실행됨 (← '자기복제' 코드를 실행하여 같은 PC 내의 다른 파일 감염)

- 파일 삭제 혹은 시스템 붕괴 등의 악성 행위 수행.

- 이메일이나 usb파일 복사로 전파 가능

 

 

⭐분류

 

a. 부트바이러스

: OS가 정상적으로 부팅되지 못하도록 하거나 시스템 파일을 감염시켜 시스템 자체를 매우 느리게 만드는 바이러스

- OS 실행 전에 먼저 실행 (부트섹터 : 컴퓨터가 읽어들이는 디스크의 가장 첫 부분)

- 플로피 디스크가 사용되던 과거에 주로 활약

 

b. 파일바이러스(일반적 바이러스)

: 바이러스가 메모리에 상주하면서 실행되는 모든 파일에 자신을 복제하여 감염시키는 바이러스 

*백신프로그램 :바이러스 프로그램에서만 보이는 특정 코드 패턴(지속적 업뎃 필요)을 검사하여 바이러스 여부 판단

-> 바이러스는 또 이걸 피하기 위해 자신의 코드를 암호화하여 저장/은폐하여 잠복하기도 함(다형성 바이러스)

 

역시 무서운 자식이군... 결국 한 번은 공격을 당해야 규칙을 찾아서 대비할 수 있는 건가

 

c. 부트/파일 바이러스

: 부트섹터와 실행 파일 모두 공격 (ex 침입자, 안락사, 에볼라)

 

 

d. 매크로 바이러스

: MS 오피스 문서 파일의 매크로 영역에 악성코드를 넣은 경우 

*다른 바이러스와 달리 문서파일이 감염대상

- 감염 시, cpu 용량 부족, HDD의 IO 증가 등의 현상 발생 

 

 

 

 

2 웜(Worm)

: 독자적으로 실행되는 프로그램으로, 자기 스스로 다른 시스템으로 전파 가능(네트워크를 통해)

- OS 등의 취약점 이용. -> 감염 컴퓨터의 자원 대규모 낭비. 

- 확산 속도가 빠름

- 백신 설치, 보안패치 주기적 설치로 대응

 

🪱모리스 웜

- 인터넷을 통해 전파된 최초의 웜 (원형 보유)

당시 OS의 취약점을 이용 . 로버트 모리스가 당시 인터넷에 접속된 컴터 중 10%를 감염시켰고, 집행 유예 받았다고 한다..

 

🪱아이러브유 웜(러브레터 웜)

- 메일의 첨부파일을 통해 전달되는 웜

- 특정 확장자를 가진 파일을 여는 순간 웜 실행 -> 컴터에 저장된 이미지와 음악 파일 훼손 + 내 주소록의 50명 이상에게도 메일 전송

 

🪱님다(nimda) 웜

- 2001년에 22분만에 인터넷을 장악한 웜. 이메일의 첨부파일(README.EXE)를 통해 전파

 

🪱슬래머(SQL Slammer) 웜

- DoS(서비스 거부 공격)를 실시하는 웜. 

- SQL Server의 버퍼 오버플로 약점을 이용하여 침입. 무작위 IP 주소에 패킷 전송 -> 반응 있는 IP에 다시 전파

- UDP를 이용함. --> DNS 서버의 시스템 다운 발생 (UDP 패킷을 전달받은 일반 서버가 DNS 서버를 호출하기에)

 

 

🪱블래스터 웜

- MS의 윈도우 NT계열을 통한 확산. OS 취약점 이용 : OS를 무한히 재시작하게 만듦.

- 웜의 악명을 일반 사용자들에게 각인시킴. 

 

 

 

 

3 트로이목마(Trojan horse)

: 개인정보 유출을 위해 다른 프로그램 내부에 기생하며 동작하는 악성코드 (자기 복제 X)

- 왜 트로이 목마? = 겉보기엔 정상 프로그램 , but 프로그램을 실행하면 숨어있던 악성코드 실행

- 자기복제 능력이 없어서(!=바이러스나 웜) 이메일의 링크를 클릭하거나 인터넷 검색을 통해 내려받는 불법 SW가 설치될 때 전파

- back-door를 통한 원격 조종 가능. 최근 자폭기능을 가지기도 함. 

- 외부의 공격자와 통신해야 하기 때문에 네트워크 포트가 사용됨. (다른 PC에서 사용X 포트의 지속적 사용..의심)

 

*스파이웨어

: 컴퓨터 정보를 수집하여 외부에 전송하는 트로이목마의 한 종류

 

 

🎠종류

 

 

 

 

4 애드웨어(Adware)

: 다른 프로그램이 실행될 때 자동으로 광고 표시 -> 제거 권고

 

 

+ 하이브리드 형태의 악성코드 

웜 바이러스  : 웜의 방식으로 네트워크를 통해 전파 + 바이러스처럼 PC 내 다른 프로그램 감염

봇 : 트로이목마와 웜의 조합 - 분산서비스(DDos)에 사용. 다수의 PC를 탈취하여 일시에 네트워크 공격 수행

 

 

*하이재커 : 사용자가 의도하지 않은 다른 사이트로 이동. 팝업 띄움

*논리폭탄 : 특정 조건이 만족할 때 파괴행위를 하도록 작성된 악성 코드 (일반적 방법으로 발견 불가)

 

 

---

 

 

 

🦠사회공학

: 기술적인 방법 대신 사람을 속여서 비밀정보를 획득하는 보안 공격 기법

 

뭔가 제일 무섭다

 

🦹🏻종류

• 쓰레기통 뒤지기
• 어깨너머로 훔쳐보기
• 직접적인 접근
  • 공격대상자. 대상자와 관련된 사람들에게 직접 접근하여 관련 정보를 알아내기
  • 동정심 호소
  • 심리적 전복 (보안 공격자가 권력을 이용해 정보를 획득할 때, 공격 대상자가 심리적으로 위축되어 절차를 무시하는 현상) 활용
• 도청
• 위장된 편지 (설문지 등) 

 

항상 신원의 증거를 요청하고, 의심.. 의심 또 의심해야 하고, 정보는 잘 분쇄해서 처리해야 한다.

특히 SNS가 보편화되면서 목표 대상에 대한 접근이 쉬워졌다고 함.

 

 

악성코드와 사회 공학 기법의 결합

🎣피싱(Phising)

: 개인 정보 + 낚시

- 메신저를 이용해 중요 정보 탈취 *신뢰할 수 있는. 혹은 기업이 보낸 메세지인 것처럼 가장함

 

 

🎣파밍(Pharming)

: 새로운 피싱 기법, 정확한 웹 사이트 주소를 입력해도 가짜 웹사이트로 접속하게 하여 개인정보 스틸.-> 악성코드 감염을 통해 DNS 스푸핑 이용, 도메인 탈취 등

 

🎣스미싱(Smishing)

: 문자 메세지 + 낚시

- 개인정보 요구. 휴대전화 소액 결제 유도