Malware & RAT

Malware

악성 코드 유형 분류

• Virus
• Worm
• Worm Virus
• Trojan Horse
• Spyware
• Adware
• Ransomware

Virus

● 프로그램을 통해 감염되는 악성 소프트웨어

● 사용자 몰래 스스로 복제하여 다른 프로그램을 감염시키고, 정상적인 프로그램이나 다른 데이터 파일 등을 파괴하는 악성 프로그램

● 바이러스에 감염된 파일을 저장매체나 네트워크를 통해 다른 컴퓨터에서 사용할 경우 그 컴퓨터도 감염

● 트로이 목마, 웜과의 차이점은 자기 복제 능력으로 인해 바이러스가 발견되어도 다른 프로그램에  감염되어있을 수 있기 때문에 모든 프로그램을 검사해봐야 한다.

● 독립적으로 존재는 불가능하다.

● 대표적인 바이러스로 브레인, 미켈란젤로, 예류살렘, CIH, 멜리사 등의 바이러스가 있다.

 

1세대 원시형 바이러스

→ 고정된 크기를 가진 가장 단순한 바이러스

→ 하드디스크의 부트영역(부팅을 담당하는 데이터가 들어있는 영역)을 감염시켜 파괴하는 것을 목적으로 한다.

 

2세대 암호화 바이러스

→ 컴퓨터의 특정 영역을 암호화시켜서 바이러스의 존재를 숨기는 기능을 가진다.

→ 2세대 암호화 바이러스는 암호화가 복잡하지 않아서 쉽게 복호화가 가능하다.

 

3세대 은폐형 바이러스

→ 다른 파일(실행 파일)에 기생하여 해당 파일이 실행되는 경우 자기 복제를 통해 다른 파일을 감염시키는 바이러스

→ 파일에 바이러스가 감염되어 기생하면 파일의 크기가 커지기 때문에 안티바이러스는 과거 파일의 크기와 현재 파일의 크기를 비교하여 바이러스를 찾아낸다.

→ 파일 크기 비교할 때 일부러 바이러스가 현재의 크기를 보여주지 않고 과거 파일의 크기를 보여줌으로써 회피하는 형태도 있다.

 

4세대 갑옷형 바이러스

→암호화 기능을 이용하여 은폐하는 바이러스(과거 암호화 바이러스보다 훨씬 복잡화된 암호화 방식을 사용)

 

5세대 매크로 바이러스

→ 프로그램 중에서 매크로 기능이 있는 프로그램에 기생하여 해당 프로그램의 매크로 기능을 이용, 추가적으로 데이터를 파괴하거나 자기복제, 다른 프로그램 감염을 진행한다.

→ MS office

 

부트 바이러스

→ 하드디스크 영역 중에서 부팅에 관련되고 부팅에 필요한 설정 정보와 데이터가 들어있는 부트 영역을 공격하는 바이러스

→ 부팅이 안되거나 부팅의 속도가 현저히 떨어진다.

 

파일 바이러스 (기생형, 겹쳐쓰기형, 산란형, 연결형)

→ 일반적인 실행파일에 감염되는 바이러스(exe 파일, bat 파일 등)

 

1. 기생형 파일 바이러스

→ 파일의 첫부분이나 끝부분에 기생하는 방식의 바이러스

→ 감염 여부를 일반적으로 확인이 힘들다.

 

2. 겹쳐쓰기형 파일 바이러스

→ 파일의 첫부분을 바이러스 코드와 실제 파일의 데이터 코드를 겹쳐쓰는 방식으로 진행

→ 바이러스 감염 여부를 확인하기 어렵고 파괴된 경우 복구하기 힘들다.

 

3. 산란형 파일 바이러스

→ 정상적인 실행파일을 감염시키지 않고 해당 파일과 이름이 같은 형태의 실행파일을 생성하는 바이러스

→ 정상적인 실행파일을 실행하는 경우 같은 형태의 실행파일을 대신 실행시키는 바이러스

 

4. 연결형 파일 바이러스

→ 프로그램이나 파일을 감염시켜서 파괴하는 바이러스가 아니다.

→ 대신 해당 파일이나 프로그램이 실행될 때 실제 저장된 내용이 실행되거나 출력되는 것이 아닌 바이러스가 실행되도록 조작하는 형태의 바이러스

 

Worm

● 컴퓨터의 취약점을 찾아 네트워크를 통해 스스로 감염되는 악성 소프트웨어

● 기존 프로그램에 융합되는 바이러스와 달리 독립적인 실체로 존재하며 사용자의 이메일, 메신저 등의 주소록을 뒤지고 스스로를 첨부하거나 시스템의 취약점을 이용해 네트워크를 통해 퍼지며 전염성이 강하다.

● 증상으로 네트워크 성능 저하가 발생

● 대표적인 Worm으로 모리스 Worm, 러브레터 Worm, 님다 Worm, 슬래머 Worm, 블래스터 Worm 등의 Worm이 있다.

 

Trojan Horse

● 정상적인 프로그램으로 위장한 악성 코드

● 유용한 프로그램인 것처럼 위장하여 사용자들에게 거부감 없이 설치를 유도

● 자기 자신을 복제하지 않으며 사용자 스스로 내려받고 설치한다.

● 독립적으로 존재 불가능

 

Spyware

● 사용자의 동의 없이 설치되어 중요한 개인 정보를 빼내는 악성 소프트웨어

● 사용자의 신상정보, 암호, 금융 정보 등의 각종 정보를 수집

● 주로 무료로 공개되는 소프트웨어와 함께 설치된다.

Adware

● 컴퓨터 사용시 자동적으로 광고가 표시되게 하는 악성 소프트웨어

● 특정 소프트웨어를 실행하거나 설치 후 자동적으로 광고가 표시되는 프로그램

● ex) 시작 페이지 고정

Ransomware

● 파일 등을 암호화하고 돈을 지불하면 복구해주는 형태의 악성 소프트웨어

● 시스템을 잠그기도 하며 사용자가 돈을 지불할 수 있게 안내문구를 보여줌

Backdoor

● 정상적인 인증 과정을 거치지 않고 시스템에 접근하는 방법

● 해킹 시도 이후에 다음 접속을 쉽게 하기 위해 고의로 남겨진 시스템의 보안 허점

● 유형으로는 로컬 백도어, 원격 백도어가 있으며 접속 방식으로 다이렉트, 리버스 커넥션 방식으로 사용

→ 해커가 직접 연결하는것을 다이렉트 커넥션 방식

→ 타겟이 해커에게 접근하게 하는 방식을 리버스 커넥션 방식

Downloader

● 악성코드를 다운로드해서 설치하는 프로그램

● ex) 트로이목마 형태의 다운로더

 

Dropper

● 사용자 몰래 악성코드를 시스템에 설치하는 프로그램

● ex) 트로이목마 형태의 드로퍼

 

Keylogger

● 사용자가 입력하는 키보드 정보를 기록하고 빼내는 프로그램

● 하드웨어형 키로거와 소프트웨어형 키로거가 있다.

 

Hoax

● 장난 삼아 속이다 / 골탕 먹이다라는 의미

● 악성코드에 대한 잘못된 정보로 악영향을 끼치는 소문 또는 스팸 메일(가짜 바이러스)

● 이메일, 메신저 등의 통신수단에 거짓정보를 사실인 것처럼 사용하여 사용자를 속이는 가짜 바이러스

● ex) '어떤 글을 클릭하지 말고 바로 삭제하시고 이 메시지를 빨리 돌려주십시오' 같은 내용이 담긴 메일

 

Exploit

● 소프트웨어의 취약점을 이용하여 시스템의 권한을 획득하는 프로그램

 

Rootkit

● 초기의 루트킷

→ 유닉스 계열 서버 시스템을 장악 후 시스템에 다시 손쉽게 접근하기 위해 여러 프로그램(백도어)들을 설치

→ 백도어 및 악의적인 기능을 가진 프로그램을 통칭하여 Root 권한을 획득하는 도구 모음을 통칭하는 용어로 사용

(Root + kit)

 

● 현재의 루트킷

→ 탐지되지 않는다.

→ 보안 프로그램 또는 운영체제로부터 악성코드를 보호하고 은닉하기 위해 제작된 프로그램을 지칭

 

RAT

● 원격 PC를 액세스하는 프로그램

● 원격 관리 기능을 이요하여 피해자의 컴퓨터를 제어

● 기능

• 화면/캠 캡쳐 또는 제어
• 파일 관리 (다운로드, 업로드, 실행 등)
• 쉘 (명령 프롬프트) 제어
• 컴퓨터 제어 (원격 기능이 지원되는 경우 전원 온/오프 및 로그 오프)
• 레지스트리 관리 (조회, 추가, 수정, 삭제)
• 마우스 및 키보드 제어
• 채팅 기능
• 하드웨어 과부하
• 기타 다양한 소프트웨어 제품 관련 기능

● 주요 RAT 소프트웨어 또는 트로이 목마

• 백오리피스, NetBus, DarkComet, 비프로스트, Blackshades 등 ← 지금은 안먹힌다.

 

신규 악성 코드

Ransomware

● 몸값(Ransom)과 소프트웨어(Software)의 합성어

● 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록하고 이를 인질로 금전을 요구하는 악성 프로그램

● 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크 망을 통해 유포

 

Wiper Malware

● 데이터 파괴 악성코드

● 와이퍼 악성코드는 운영체제를 공격하는 것이 아닌 하드디스크 자체의 파일시스템을 공격하는 형태의 악성코드

● 컴퓨터의 부팅영역인 MBR(Master Boot Record) 및 파일시스템의 파일 관리 영역을 공격하여 데이터를 파괴하고 컴퓨터 자체의 부팅을 막음

 

Cryptojacking

● 암호화폐(Cryptocurrency) + 납치(Hijacking)

● 암호화폐 채굴을 위한 악성코드

● 일반 사용자 모르게 컴퓨팅 파워를 무단으로 사용하여 암호화폐를 채굴하는 악성코드

● CPU 사용량 증가 및 전체적인 컴퓨터 속도의 하락이 발생

 

Bitcoin Miner

● 비트코인 강제 채굴 악성코드

● 암호화폐 채굴을 위한 악성코드

● 일반사용자 및 회사의 관리자 모르게 컴퓨팅 자원을 무단으로 사용하여 비트코인을 채굴하는 악성코드

● CPU 사용량 증가 및 전체적인 서버 속도의 하락이 발생