[네트워크보안]

1. 악성코드

• 악성코드의 정의

제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 스크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 형태

 

• 악성코드의 역사
  • 바이러스 개념의 정립
    • 1972년 컴퓨터 파이러스 개념 처음 등장
    • 1984년 프레드 코헨(Fred Cohen) 이 컴퓨터 바이러스 개념 정립
  • 최초의 바이러스
    • 브레인 바이러스
  • 최초의 웜
    • 1988 미국의 네트워크를 마비시켰던 '모리스웜'
  • 매크로 바이러스
    • 1999년 멜리사 바이러스
  • 웜에 의한 대규모 피해 발생
    • 2001년 코드레드 - 웜에 의해 8시간만에 25만대 이상의 컴퓨터가 감염
  • 인터넷 대란
    • 2003년 인터넷 대란을 일으킨 SQL_Overflow(슬래머) (dos 공격 일종)
  • 변종 웜의 발생
    • 컴워리어(CommWarrior) - mms 를 통해 감염된 휴대폰에 저장된 전화번호로 악성코드를 퍼트리는 휴대폰 악성코드
    • 악성코드는 수백만종에 이르며 악성코드로 인한 피해액은 수백억 달러에 이르고 그 액수도 해마다 커지고 있음. -> 네트워크의 넓은 보급과 일상의 디지털화 때문
• 악성코드의 분류
  • 바이러스
    • 사용자 컴퓨터 내에서 사용자 몰래 프로그램이나 실행 가능한 부분을 변형해 자신 또는 자신의 변형을 복사하는 프로그램 - 가장 큰 특성은 복제와 감염. 다른 네트워크 컴퓨터로 스스로 전파되지 않는다.
  • 웜
    • 네트워크를 통해 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램.
    • 윈도우 또는 응용 프로그램의 취약점을 이용, 이메일이나 공유폴더를 통해 전파됨.
    • 바이러스와 달리 스스로 전파되는 특성
  • 트로이목마
    • 바이러스나 웜처럼 직접적인 피해를 주진 않지만 공격자가 컴퓨터에 침투하여 사용자의 컴퓨터를 조종 할 수 있는 악성 프로그램
    • 고의적으로 만들어졌다는 점에서 프로그래머의 실수인 버그와는 다르다
    • 자기 자신을 복사하지 않는다는 점에서 컴퓨터 바이러스와는 구분됨.
  • 인터넷 악성코드
    • 인가되지 않은 성인 사이트나 크랙 사이트에 접속할 때 감염됨
    • 최근에는 웜의 형태로 전이되고있음
  • 스파이웨어
    • 자신이 설치한 시스템의 정보를 원격지의 특정한 서버에 주기적으로 보내는 프로그램
  • 악성 프로그램으로 인해 발생할 수 있는 증상
    • 시스템 관련
    • 네트워크 관련
    • 하드디스크 관련
    • 파일관련
    • 특이증상

2. 바이러스

• 바이러스의 정의
  • 악성코드 중에 가장 기본적인 형태
  • 사용자 컴퓨터(네트워크 공유 컴퓨터 포함) 내에서 사용자 몰래 프로그램이나 실행 가능한 부분을 변형해 자신 도는 자신의 변형을 복사하는 프로그램
• 1세대 : 원시형 바이러스 (자기복제기능과 데이터 파괴 기능)
  • 부트바이러스 - 플로피디스크나 하드디스크의 부트 섹터에 감염되는 바이러스로 부팅할 때 자동으로 동작
    • 부트 바이러스에 감염된 플로피디스크로 운영체제를 구동시키면 바이러스가 MBR과 함께 PC 메모리에 저장되고 부팅 후에 사용되는 모든 프로그램에 자신을 감염시킴
    • 브레인, 몽키, 미켈란젤로 바이러스 등
  • 파일바이러스 (부트바이러스의 대안)
    • 파일을 직접 감염시키는 바이러스
    • 하드디스크가 pc에서 일반화되면서 그 대안으로 나온 형태
    • 일반적으로 COM 이나 EXE 와 같은 실행 파일과 디바이스 드라이버 등에 감염
    • 전체 바이러스의 80% 이상을 차지
    • 바이러스에 감염된 실행 파일이 실행될 때 바이러스 코드를 실행
    • 바이러스가 프로그램에 뒷부분에 위치하게 된 이유는 백신의 바이러스 스캔으로부터 자신의 존재를 숨기기 위해서 이다.
• 2세대 : 암호형 바이러스
  • 바이러스 코드를 쉽게 파악하고 제거할 수 없도록 암호화한 바이러스
  • 바이러스 제작자들은 백신의 진단을 우회하기 위해 자체적으로 코드를 암호화 하는 방법을 사용하여 백신 프로그램이 진단하기 힘들게 만들기 시작함.
    • 복호화 알고리즘 - 암호화된 바이러스 코드 - 복호화 키
  • 바이러스가 동작할 때 메모리에 올라오는 과정에서 암호화가 풀림
    • 이를 이용 메모리에 실행되어 올라온 바이러스를 거꾸로 분석하여 백신개발
  • 슬로우, 케스케이드, 원더러, 버글러 등
• 3세대 : 은폐형 바이러스
  • 바이러스에 감염된 파일들이 일정 기간의 잠복기를 가지도록 만들어지니 바이러스
  • 확산되기도 전에 바이러스가 활동하기 시작하면 다른 시스템으로 전파되기 힘들기 때문
    • 잠복기 때문에 확진 존재 파악 힘듬
  • 브레인, 조시, 512, 4069 바이러스 등
• 4세대 : 다형성 바이러스
  • 백신 프로그램이 특정 식별자를 이용하여 바이러스를 진단하는 기능을 우회하기 위해 만들어진 바이러스
  • 코드조합을 다양하게 할 수 있는 조합프그램을 암호형 바이러스에 덧붙여 감염
    • 실행될 때마다 바이러스 코드 자체를 변경시켜서 식별자로 구분하기 어렵게 함
• 5세대 : 매크로 바이러스
  • 기존 바이러스는 실행할 수 있는 파일에 감염된 반면 매크로 바이러스는 엑셀 또는 워드와 같은 문서 파일의 매크로 기능을 이용하기 때문에 워드나 엑셀 파일을 열 때 감염됨.
  • 워드 컨셉트, 와쭈, 엑셀리룩스 바이러스 등
• 차세대 바이러스
  • 최근에는 매크로 바이러스 에서 나타난 스크립트 형태의 바이러스가 더욱 활성화 되고 있음.
  • 대부분 네트워크와 메일을 이용하여 전파되는 방식
  • 데이터를 파괴하고 감염시키는 형태에서 벗어나 사용자 정보를 빼내거나 시스템을 장악하기 위한 백도어 기능을 가진 웜의 형태로 진화하고 있음

3. 웜

• 웜의 등장
  • 인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 프로그램을 의미
  • 이메일에 첨부 파일 형태로 첨부되어 확산되거나, 운영체제나 프로그램의 보안 취약점을 이용하여 스스로 침투하는것이 일반적
    • 현재는 mlRC 채팅프로그램, P2P, 스크립트기능, 네트워크 공유 기능 등의 허점을 이용하여 확산하고 증식하는 경우도 있어 피해와 부작용의 범위/크기가 계속 커지고 있음.
• MASS Mailer 형 웜
  • 자기 자신을 포함하는 대량 메일 발송을 통해 확산
  • 최근 발생한 웜 중 약 40%가 mass mailer 형 에 해당
  • 제목이 없거나 특정 제목으로 전송되는 메일을 읽었을때 감염
• 시스템 공격형 웜
  • 운영체제 고유 취약점을 이용해 내부 정보를 파괴하거나 컴퓨터를 사용할 수 없는 상태로 만들거나, 혹은 외부의 공격자가 시스템 내부에 접속할 수 있는 백도어를 설치하는 웜
  • 시스템 공격형 웜의 주요 증상
    • 전파할 때 과다한 tcp/135,445 트래픽이 발생
    • SVCHOST.EXE 등의 파일을 설치
• 네트워크 공격형 웜
  • 특정 네트워크나 시스템에 대해 Syn Flooding, Smurf 와 같은 서비스거부(DoS) 공격을 수행
  • 네트워크 공격형 웜의 주요 증상
    • 네트워크가 마비되거나 급속도로 느려짐
    • 네트워크 장비가 비정상적으로 동작

4. 기타 악성코드

• 백도어와 트로이 목마
  • 백도어 - 운영체제나 프로그램을 생성할 때 정상적인 인증 과정을 거치지 않고, 운영체제나 다른 프로그램등에 접근 할 수 있도록 만든 일종의 통로
• 트로이목마 - 사용자가 의도하지 않은 코드를 정상적인 프로그램에 삽입한 형태