악성코드

목차

• 정탐 오탐 미탐
• 악성코드 개요
• 바이러스 
• 웜
• 루트킷/트로이목마/백도어 
• 랜섬웨어
• 애드웨어
• 스파이웨어/키로거 
• 봇넷(botnet)

  

정탐 오탐 미탐

• True: 옳게 판단 / False: 잘못 판단
• Positive: 긍정적, 공격 아닌 것 / Negative: 부정적인, 공격
• 정탐: TP(True positive), TN(True negative):  공격을 공격으로, 공격이 아니것을 아닌 것으로 옳게 판단
• 오탐: FP(False Positive): 공격이 아닌 것을 공격인 것으로 잘못 판단
• 미탐: FN(False Negative): 공격을 공격이 아닌 것으로 잘못 판단(치명적)

 

악성코드 개요

정의: 사용자와 시스템이 의도하지 않은 악성 행위를 하거나 사용자와 시스템에 악영향을 끼치는 코드를 말함.

 

대표적 7가지

• 바이러스 
• 웜
• 루트킷(트로이목마/백도어)
• 랜섬웨어
• 애드웨어
• 스파이웨어(키로거) 
• 봇넷(botnet)

 

바이러스

정의: 다른 프로그램 혹은 실행 코드를 숙주로 삼아 스스로를 복제함으로써 컴퓨터를 감염시키기나 퍼지는 악성 프로그램 혹은 코드를 말함.

 

특징

• 인터넷이나 네트워크 또는 플로피 디스크, CD, DVD, USB 드라이브와 같은 이동식 매체를 통하여 바이러스를 전파할 수 있음.
• 컴퓨터 프로그램이나 실행가능한 부분을 변형시켜 그곳에 자신을 변형 혹은 복사시킬 수 있는 명령어들의 집합이라고 보면 됨.

 

사례(안젤리나 바이러스)

• 1994년 1월 5일 처음 발견된, 폴란드에서 만들어진 것으로 추정되는 컴퓨터 바이러스의 일종으로, 분류상으로는 부트 바이러스
• 플로피 디스크나 하드 디스크의 부트 섹터에 자신을 덮어씌우고 정상적인 부트 섹터를 딴 곳으로 날려버리며 기본 메모리를 1KB[1] 줄임.
• 감염된 부트 섹터 내에는 Greetings for ANGELINA!!!/by Garfield/Zielona Gora라는 문자열이 암호화되어 저장

 

웜

정의: 악성코드(Malware)의 감염 방식 중 하나로, 웜은 여러 단말기에 분산되어 퍼져 그 단말기들이 연결된 네트워크 전체에 부하를 일으키는 프로그램

 

특징

• 바이러스가 다른 실행 프로그램에 기생하여 실행되는 데 반해 웜은 독자적으로 실행되며 다른 실행 프로그램이 필요하지 않음.
• 종종 컴퓨터의 파일 전송 기능을 착취하도록 설계
• 네트워크를 손상시키고 대역폭을 잠식하지만, 바이러스는 컴퓨터의 파일을 감염시키거나 손상시키지는 않음, 즉 컴퓨터 자체에는 큰 영향을 끼치지는 않음

 

사례

• 사세르 웜: 서울 한 대형 병원에서 사세르 웜으로 인해 전상망 마비이 되어 업무 차질이 생김.
• 슬래머 웜: 마이크로소프트(MS)의 데이터베이스 관리시스템인 SQL 서버의 특정 포트를 이용해 MS SQL 서버를 공격하는 웜

 

루트킷(트로이목마/백도어)

정의: 사용자 모르게 PC 운영체제 권한에 접근할 수 있도록 하는 “악성코드 키트(kit)”

 

특징

• 정상적인 인증 과정을 거치지 않고 우회하여 운영체제나 소프트웨어에 접근할 수 있는 악성코드 집합으로, 백도어, 트로이목마 등이 포함
• 직접적으로 악성코드의 효과를 내진 않지만, 이후의 다른 악성코드가 성공적으로 작동할 수 있게 환경을 구성
• 소셜 엔지니어링, 혹은 이전에 설치된(주로 프로그램 개발 과정에서 설치하고 삭제하지 않은) 백도어 프로그램이 이용
• 패치되지 않은 보안 취약점이 있는 프로그램은 백도어 공격의 매개 변수가 될 수 있음
• 스파이웨어나 애드웨어, 램섬웨어 등을 함께 들여와 사용자에게 피해를 입힘

 

사례(라자루스 루트킷)

• 취약한 드라이버 커널 모듈을 악용하여 기업의 보안 시스템 전반을 무력화
• 약한 드라이버 커널 모듈을 악용하여 직접적으로 커널 메모리 영역에 대해 읽기/쓰기 행위를 수행함으로써 안티바이러스(AV)를 포함한 시스템 내 모든 모니터링 시스템이 무력화

 

랜섬웨어

정의: 랜섬웨어는 컴퓨터에 저장된 파일에 락을 걸고 몸값을 요구하는 악성코드

 

특징

• 랜섬웨어에 감염된 파일은 해커만이 풀 수 있도록 암호화되며, 비트코인 등을 대가로 지불해야만 잠금을 푸는 키를 받을 수 있음
• 예방과 치료, 복구가 모두 쉽지 않아 최악의 악성코드라 불리기도 함
• 스팸 사이트, 의심스러운 첨부파일, 소셜 엔지니어링(피싱, 스미싱 등) 등을 통해 감염

 

사례(록빗 랜섬웨어)

• 2022년 6월에는 저작권법 위반 내용으로 사칭한 피싱 메일을 통해 RaaS 유형의 록빗(LockBit) 랜섬웨어가 유포
• 안랩에서 해당 랜섬웨어 공격을 분석한 결과, 첨부된 압축 파일을 풀면 PDF 파일 아이콘을 위장한 실행 파일이 존재
• 해당 파일은 NSIS(Nullsoft Scriptable Install System) 파일의 형태로 확인됐으며, nsi 스크립트 내용을 보면 ‘162809383’의 데이터 파일을 디코딩해 재귀 실행과 인젝션으로 악성행위를 실행

 

애드웨어

정의:  프로그램 실행 중 광고를 보여주고, 이를 봄으로써 비용 납부를 대신하는 형태의 프로그램

 

특징

• 백신 프로그램을 사용해도 지속적으로 광고가 팝업되는 등 악성코드가 제거되지 않는 느낌이 든다면 백신을 우회하는 악성코드, 혹은 악성코드로 인식되지 않는 소프트웨어 때문임.
• 기술적으로 악성코드의 범주에 들지 않지만 PUP(Potentially Unwanted Program)로 분류되어 PC 보안에 부정적인 영향을 미침
• 사용자를 무차별적으로 광고에 노출시킬 뿐만 아니라 다른 악성코드의 유포 수단이 되기도 함

 

사례(‘Wiseman Support’ 프로그램 서버 해킹해 수개월 이상 파밍 악성코드 유포)

• Wiseman Support’ 프로그램의 서버를 해킹해 수개월 이상 은밀하게 파밍용 악성파일 전파통로로 악용
•  Wiseman.exe’ 파일로 위장하거나 ‘ad_숫자’ 폴더를 만든 후 하위에 변종 악성파일을 배포

 

스파이웨어(키로거)

정의: 사용자의 정보를 비밀리에 수집하여 제3자에게 전송하는 악성코드

 

특징

• 스파이웨어가 수집하는 정보는 주로 방문한 웹사이트, 브라우저, 시스템 정보 및 IP 주소 등, 마케팅 수단으로 거래될만한 내용
• 사용자가 누른 키를 기록하는 키로거 역시 스파이웨어의 한 종류로, ID와 패스워드, 카드 번호 등을 수집해 해커에게 전송
• 사용자의 동의 없이 몰래 설치

 

사례(페가수스)

• 본 목적: 각종 앱과 장비로부터 민감한 정보를 수집하는 스파이웨어로, 테러범과 중범죄자를 추적하기 위해 개발
• 의도와는 다르게 최근 해킹 피해를 본 이들 가운데 상당수는 민간인과 정치인들이었다는 점
• 목표 스마트폰에 침투해 개인과 위치 정보를 입수하고 스마트폰의 마이크와 카메라를 몰래 조종할 수 있는 문제 발발 
• 철통 보안을 내세우던 애플의 아이폰 역시 페가수스에 뚫림.
• 아이메시지로 아이폰에 침투해 통화 내용을 녹음하고 메시지·이메일 기록에 접근하는 등 휴대전화에 들어있는 거의 모든 내용을 습득.

 

봇넷

정의:  악성코드인 봇에 감염된 PC들로 이루어진 네트워크

 

특징

• 봇에 감염된 PC는 해커에 의해 원격 조종될 수 있어 흔히 말하는 좀비 PC 상태
• 이들에게 명령을 내려 동시에 특정 호스트에 네트워크 요청을 보내도록  하면 트래픽 과부하가 발생하게 되는데, 이를 DDoS(분산 서비스 거부 공격
• 자신의 PC가 감염되거나 공격에 사용되어도 그 여부를 알기가 쉽지 않음.

 

사례(Mozi 봇넷)

• 최근 러시아와 정보 공유를 통해 전 세계 72개국 사물인터넷(IoT) 장비 1만 1,700여대가 ‘Mozi 봇넷’이라는 악성코드에 감염
• 최신 소프트웨어를 사용하지 않는 장비 등을 공격해서 악성코드를 감염시킨 후 감염된 장비를 DDoS 공격을 위한 좀비 PC로 활용
• 제품 구매 당시 설정된 비밀번호를 바꾸지 않거나, 제3자가 쉽게 추측할 수 있는 비밀번호를 사용하는 장비가 주요 공격 대상