Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

Size: px

Start display at page:

Download "Microsoft PowerPoint - ch06_악성 코드 [호환 모드]"

욱 문
4 years ago
Views:

이장에서다룰내용 1 2 3 악성코드의종류와그특성을알아본다. 바이러스의동작원리를이해한다. 웜의동작원리를이해한다.

Section 01 와분류 악성코드의정의 제작자가의도적으로사용자에게피해를주고자만든모든악의적목적을가진프로그램및매크로, 스크립트등컴퓨터상에서작동하는모든실행가능한형태

소설가인데이비드제럴드의공상과학소설 When Harlie was One (Nelson Doubleday, 1972) 에는 ' 다른컴퓨터에계속자신을복제,

1 이장에서다룰내용 악성코드의종류와그특성을알아본다. 바이러스의동작원리를이해한다. 웜의동작원리를이해한다. 정보보안개론 6 장 2 4 기타악성코드의종류를알아본다. Section 01 와분류 악성코드의정의 제작자가의도적으로사용자에게피해를주고자만든모든악의적목적을가진프로그램및매크로, 스크립트등컴퓨터상에서작동하는모든실행가능한형태 1972년 컴퓨터바이러스의개념이처음등장. 소설가인데이비드제럴드의공상과학소설 When Harlie was One (Nelson Doubleday, 1972) 에는 ' 다른컴퓨터에계속자신을복제, 감염된컴퓨터의운영체제에영향을미쳐점차시스템을마비시키는장치를한과학자가제작해배포한다 ' 는내용이소개 년 컴퓨터바이러스라는용어는 1984년에프레드코헨 (Fred Cohen) 에의하여다음과같이개념이정립됨. We define a computer virus as a program can infect other programs by modifying them to include a possibly evolved copy of itself.

1986년 일반적으로 1986년에발견된브레인바이러스 (Brain Virus) 를최초의바이러스로칭함. 이바이러스는파키스탄에서프로그래머로일하던알비형제가자신들의소프트웨어가불법복제되는것을참다못해바이러스를만들어서뿌렸다고함. 1987년 예루살렘대학에서 13일의금요일바이러스가발견됨.

당시발견된 DIR II는 MS 도스의 FAT 파일시스템의연결구조를이용하며, 바이러스감염시프로그램의크기를증가시키지않고기생할수있다는특징을가짐. 1997 년 매크로바이러스가출현. 매크로 (Macro) 란엑셀이나워드에서특정한기능을자동화시켜놓은일종의프로그램인데, 이바이러스는시스템프로그램과같은고난이도의기술만이웜 / 바이러스제작에이용될수있다는인식을바꾸어놓음.

2 1986년 일반적으로 1986년에발견된브레인바이러스 (Brain Virus) 를최초의바이러스로칭함. 이바이러스는파키스탄에서프로그래머로일하던알비형제가자신들의소프트웨어가불법복제되는것을참다못해바이러스를만들어서뿌렸다고함. 1987년 예루살렘대학에서 13일의금요일바이러스가발견됨. 유명한바이러스로예루살렘바이러스라고도불리는데, 13일의금요일에시스템내의파일을삭제하게되어있는바이러스다. 이탈리아에서제작한것으로알려지고있음. 1989년 모리스웜이발생하여, 미국의네트워크를마비시킨사건이일어남. 최초의웜으로알려지고있음. 1991년 1991년 11월에는그간의바이러스와전혀다른특징을가진바이러스가출현. 당시발견된 DIR II는 MS 도스의 FAT 파일시스템의연결구조를이용하며, 바이러스감염시프로그램의크기를증가시키지않고기생할수있다는특징을가짐 년 매크로바이러스가출현. 매크로 (Macro) 란엑셀이나워드에서특정한기능을자동화시켜놓은일종의프로그램인데, 이바이러스는시스템프로그램과같은고난이도의기술만이웜 / 바이러스제작에이용될수있다는인식을바꾸어놓음. 1999년 월컴퓨터하드디스크의바이오스 (BIOS) 를손상시키고각종파일을삭제하는 CIH 바이러스로인해많은컴퓨터가피해를입음 년 코드레드웜에의해 8시간만에 25만대이상의컴퓨터가감염됨. 이웜은윈도우2000과윈도우 NT 서버를경유지로이용해미국백악관을공격하였는데, 국내도최소 3만대이상의시스템이피해를입은것으로추정됨 년 2003년 1월 25일인터넷대란을일으킨 SQL_Overflow 웜이등장. CAIDA에따르면, 기준으로 2003년 1월 25일 05시 29분에슬래머가퍼지기시작하여, 06시를기준으로전세계의 74,855대시스템이그림과같이감염됨. 8 월에는 1~2 분간격으로컴퓨터를강제재부팅시킴으로써국내외적으로큰피해를준블래스터웜 (Blaster Worm) 을시작으로, 웰치아웜 (Welchia Worm), 엄청난양의스팸메일을집중발송해전세계를깜짝놀라게한소빅.F 웜 (Sobig.F Worm) 등이발생 2004 년 마이둠웜 (Mydoom Worm) 이 1월 26일에처음등장해역대최고의전파속도로세계적으로 100만대이상의 PC를감염. 이외에도넷스카이, 베이글, 새서웜등의변종이지속적으로등장. 6월에는자기복제가가능하고네트워크를통해전파되는, 최초의웜형태를지닌휴대폰악성코드인카비르웜이등장 2005년 웜의다양한변종이지속적으로등장해컴퓨터사용자를괴롭힘. 3월에는블루투스외에멀티미디어메시징서비스 (MMS) 를이용해, 감염된휴대폰에저장된전화번호를통해악성코드를퍼뜨리는휴대폰악성코드인컴워리어가등장하여전파방법상에서의지역적한계를넘음. 현재 최근에알려진바이러스의종류도 15만개이상. IT 시장조사기관인 IDC는 2004 년에 37억달러규모였던안티바이러스시장이 2009년에는 73억달러에이를것으로전망.

3 악성코드의분류 악성코드의분류 정의에따른악성코드의분류 이름 ( 코드 ) 바이러스 (Virus) 웜 (Worm) 트로이목마 (Trojan Horse) 혹스 (Hoax) 악성자바코드 악성 ActiveX 설명 사용자컴퓨터 ( 네트워크로공유된컴퓨터포함 ) 내에서사용자몰래프로그램이나실행가능한부분을변형해자신또는자신의변형을복사하는프로그램이다. 가장큰특성은복제와감염이다. 다른네트워크의컴퓨터로스스로전파되지는않는다. 인터넷또는네트워크를통해서컴퓨터에서컴퓨터로전파되는악성프로그램이다. 윈도우의취약점또는응용프로그램의취약점을이용하거나이메일이나공유폴더를통해전파되며, 최근에는공유프로그램 (P2P) 을이용하여전파되기도한다. 바이러스와달리스스로전파되는특성이있다. 바이러스나웜처럼컴퓨터에직접적인피해를주지는않지만, 악의적인공격자가컴퓨터에침투하여사용자의컴퓨터를조종할수있는프로그램이다. 고의적으로만들어졌다는점에서프로그래머의실수인버그와는다르다. 또자기자신을 다른파일에복사하지않는다는점에서컴퓨터바이러스와구별된다. 인터넷메신저나이메일또는게시판, 문자메시지등에거짓정보나괴담등을실어사용자를속이는가짜컴퓨터바이러스다. 우리나라에서는 1997 년부터나타나기시작해해마다등장하고있는데, 특히만우절을전후한 3 월말에서 4 월초에많이나타난다. 한예로, 2004 년 3 월에나타난혹스에는 누군가 munrol@hotmail.com 이라는사람의추가를요구하면추가하지말고취소하십시오. 바이러스입니다. 지금 MSN 창에있는사람들에게도이메시지를빨리돌려주십시오 라는내용이담겨있었다. 확인결과가짜바이러스인혹스로판명되었다. 웹사이트에서동적인기능을구현하기위해서자바스크립트나자바애플릿을많이사용하는데, 이런자바스크립트나자바애플릿을이용하여악의적인기능을하는코드를말한다. ActiveX 는마이크로소프트에서만든객체지향프로그래밍을위한도구모음이다. ActiveX 컨트롤은이 ActiveX 를이용하여객체지향프로그래밍을하기위한컴포넌트인데, 이를이용하여악의적인기능을수행하게하는코드를악성 ActiveX 코드라한다. 악성프로그램으로인해발생할수있는증상 대분류 소분류 설명 시스템관련 시스템정보변경 변경레지스터리키값을변경하여시스템의정보를변경한다. FAT 파괴 시스템의파일시스템을파괴한다. CMOS 변경 CMOS 내용을변경하여부팅때에러를발생시킨다. CMOS 정보파괴 CMOS의일부를파괴한다. 기본메모리감소 시스템의기본메모리를줄인다. 시스템속도저하 시스템의속도를저하시킨다. 프로그램자동실행 레지스터리값을변경해시스템을부팅할때특정프로그램을자동으로실행시킨다. 프로세스종료 특정프로세스를강제로종료시킨다. 시스템재부팅 시스템을재부팅시킨다 네트워크관련 메일발송 특정사용자에게메일을발송한다. 정보유출 사용자의정보를네트워크를통해서공격자컴퓨터로전송한다. 네트워크속도저하 감염된컴퓨터가속한네트워크가느려진다. 메시지전송 메시지를네트워크를통해다른컴퓨터로전달한다. 특정포트오픈 특정백도어포트를연다. 하드디스크관련 하드디스크포맷 하드디스크를포맷한다. 부트섹터파괴 하드디스크의특정부분을파괴한다. 파일관련 파일생성 특정파일을생성한다. 주로백도어파일을생성한다. 파일삭제 특정파일이나디렉토리를삭제한다. 파일감염 바이러스가특정파일을감염시킨다. 파일손상 바이러스가특정파일에겹쳐쓰기형태로감염되면파일이손상된다. 특이증상 특정화면출력 화면에특정내용이나타난다. 특정음발생 컴퓨터에서특정음이난다. 메시지상자출력 화면에특정메시지상자가나타난다. 증상없음특이한증상이없다. Section 02 바이러스 바이러스 악성코드중가장기본적인형태며, 최초의악성코드가만들진 1980년대이후에서 2000년대초반까지악성코드의주류를차지함. 원시형바이러스 컴퓨터바이러스가등장하기시작할때쯤퍼지던가장원시적인형태의바이러스로, 단순히자기복제기능과데이터파괴기능만을가지고있음. 부트바이러스 플로피디스크나하드디스크의부트섹터에감염되는바이러스로, 부팅할때자동으로동작. 1 단계 : POST POST는하드웨어자체가시스템에문제가없는지기본사항을스스로체크하는과정. BIOS에의해서실행되는데, POST 도중하드웨어에서문제가발견되면사용자에게여러방법으로그문제를알림.

2 단계 : POST CMOS에서는기본장치에대한설정과부팅순서를설정할수있음. BIOS는CMOS에서이런기본설정사항을읽어시스템에적용.

MBR은메모리에적재될운영체제가저장된파티션의부트섹터레코드를읽을수있는프로그램을,

부트바이러스에감염된플로피디스크로운영체제를구동시키면바이러스가MBR과함께 PC 메모리에저장되고부팅후에사용되는모든프로그램에자신을감염시킴.

파일바이러스 파일바이러스는파일을직접감염시키는바이러스로서부트바이러스와는달리하드디스크가 PC에서일반화되면서그대안으로나온형태임.

4 2 단계 : POST CMOS에서는기본장치에대한설정과부팅순서를설정할수있음. BIOS는CMOS에서이런기본설정사항을읽어시스템에적용. 3 단계 : 마스터부트레코드 (MBR) CMOS 정보를읽어부팅매체를확인한뒤에는부팅매체의 MBR(Master Boot Record) 정보를읽음. MBR은운영체제가어디에, 어떻게위치해있는지를식별하여컴퓨터의주기억장치에적재될수있도록하기위한정보로, 하드디스크나디스켓의첫번째섹터에저장되어있음. MBR은메모리에적재될운영체제가저장된파티션의부트섹터레코드를읽을수있는프로그램을, 부트섹터레코드는운영체제의나머지부분을메모리에적재시키는프로그램을담고있음. 부트바이러스는이단계에서동작. 부트바이러스에감염된플로피디스크로운영체제를구동시키면바이러스가MBR과함께 PC 메모리에저장되고부팅후에사용되는모든프로그램에자신을감염시킴. 부트바이러스는브레인, 몽키, 미켈란젤로바이러스가있음. 파일바이러스 파일바이러스는파일을직접감염시키는바이러스로서부트바이러스와는달리하드디스크가 PC에서일반화되면서그대안으로나온형태임. 일반적으로 COM이나 EXE와같은실행파일과오버레이파일, 디바이스드라이버등에감염되며, 전체바이러스의 80% 이상을차지함. 바이러스에감염된실행파일이실행될때바이러스코드를실행. (a) 프로그램을덮어쓰는경우, (b) 프로그램앞부분에실행코드를붙이는경우, (c) 프로그램의뒷부분에바이러스코드를붙이는경우가있음. 바이러스가프로그램의뒷부분에위치한경우바이러스의실행루틴 예루살렘바이러스가최초의파일바이러스로알려져있으며, 이외에도썬데이, 스콜피온, 크로우, FCL 등이있음. CIH 바이러스도이에해당됨.

은폐형바이러스 확산되기전에바이러스가활동하기시작하면다른시스템으로전파되기힘들기때문에일정기간동안잠복기를가지도록바이러스를작성함.

바이러스가동작할때메모리에올라오는과정에서암호화가풀리기때문에백신제작자들은이를이용하여암호화하는방법을거꾸로분석하여감염파일과바이러스를치료함.

브레인, 조시, 512, 4096 바이러스등이있음 4 세대 : 다형성바이러스 5 세대 : 매크로바이러스 다형성바이러스

5 2 세대 : 암호형바이러스 3 세대 : 은폐형바이러스 암호형바이러스 바이러스제작자들은백신의진단을우회하기위해자체적으로코드를암호화하는방법을사용하여백신프로그램이진단하기힘들게만들기시작함. 은폐형바이러스 확산되기전에바이러스가활동하기시작하면다른시스템으로전파되기힘들기때문에일정기간동안잠복기를가지도록바이러스를작성함. 이와같은이유로나온은폐형바이러스는직관적인방법 ( 백신프로그램또는일반적인정보확인등 ) 으로바이러스감염여부를진단하지못하게됨. 바이러스가동작할때메모리에올라오는과정에서암호화가풀리기때문에백신제작자들은이를이용하여암호화하는방법을거꾸로분석하여감염파일과바이러스를치료함. 슬로우, 캐스케이드, 원더러, 버글러등의바이러스가있음. 브레인, 조시, 512, 4096 바이러스등이있음 4 세대 : 다형성바이러스 5 세대 : 매크로바이러스 다형성바이러스 백신프로그램이특정식별자를이용하여바이러스를진단하는기능을우회하기위해만들어진바이러스. 코드조합을다양하게할수있는조합프로그램을암호형바이러스에덧붙여감염되어, 실행될때마다바이러스코드자체를변경시켜식별자로구분하기어렵게함. 매크로바이러스 기존의바이러스는실행할수있는파일 (COM이나 EXE) 에감염된반면, 매크로바이러스는엑셀또는워드와같은문서파일의매크로기능을이용하기때문에워드나엑셀파일을열때감염됨. 워드컨셉트, 와쭈, 엑셀-라룩스, 멜리사바이러스등이있음.

6 5 세대 : 매크로바이러스 차세대바이러스 매크로바이러스의증상 문서가정상적으로열리지않거나암호가설정되어있음. 문서내용에깨진글자나이상한문구가포함어있음. 도구메뉴중매크로메뉴가실행할수없게잠겨있음. 엑셀이나워드작업중VB(Visual Basic) 편집기의디버그모드가실행됨. 차세대바이러스 매크로바이러스에서나타난스크립트형태의바이러스가더욱활성화되고있으며, 네트워크와메일을이용하여전파되는방식이대부분. 바이러스는단순히데이터를파괴하고다른파일을감염시키는형태에서벗어나사용자정보를빼내가거나시스템을장악하기위한백도어기능을가진웜의형태로진화하고있음. Section 03 웜 MASS Mailer 형웜 웜의등장 1999년다른사람의이메일주소를수집하고스스로전달되는형태의인터넷웜이출현하면서일반인에게웜이라는용어가알려지기시작. 웜 이메일에첨부파일형태로첨부되어확산되거나, 운영체제나프로그램의보안취약점을이용하여스스로침투하는것이일반적이나, 현재는 mirc 채팅프로그램, P2P 파일공유프로그램, 이메일관련스크립트기능, 네트워크공유기능등의허점을이용하여확산하고증식하는경우도있어피해와부작용의범위 / 크기가계속커지고있음. 소개 최근발생한웜중약 40% 가 MASS Mailer 형에해당. 제목이없거나특정제목으로전송되는메일을읽었을때감염. 치료하지않으면시스템에계속기생하면서시스템내부에서메일주소를수집해계속메일을보냄. 증상 메일로전파되며, 감염된시스템이많으면 SMTP 서버 (TCP 25번포트 ) 의네트워크트래픽이증가함. 베이글은웜파일을실행할때 Can't find a viewer associated with the file 과같은가짜오류메시지를출력. 넷스카이는윈도우시스템디렉토리밑에 CSRSS.exe를만듬. 변형된종류에따라시스템에임의의파일을생성. 확인되지않은메일을열어볼때확산. 종류 베이글 (Bagle), 넷스카이 (Netsky), 두마루 (Dumaru), 소빅 (Sobig) 등

시스템공격형웜 네트워크공격형 소개 운영체제고유의취약점을이용해내부정보를파괴하거나, 컴퓨터를사용할수없는상태로만들거나, 외부의공격자가시스템내부에접속할수있도록백도어를설치. 증상 전파할때과다한 TCP/135,445 트래픽이발생.

소개 Syn Flooding, Smurf와같은DoS 공격을수행 증상 네트워크가마비되거나, 급속도로느려짐. 네트워크장비가비정상적으로동작.

worm), 웰치아 (Welchia) 등 Section 04 기타악성코드 - 백도어와트로이목마 인터넷악성코드 트로이목마 사용자가의도하지않은코드를정상적인프로그램에삽입한프로그램 백도어 운영체제나프로그램을생성할때정상적인인증과정을거치지않고,

7 시스템공격형웜 네트워크공격형 소개 운영체제고유의취약점을이용해내부정보를파괴하거나, 컴퓨터를사용할수없는상태로만들거나, 외부의공격자가시스템내부에접속할수있도록백도어를설치. 증상 전파할때과다한 TCP/135,445 트래픽이발생. winnt, winnt/system32 폴더에 SVCHOST.EXE 등의파일을설치. 공격성공후UDP/5599 등의특정포트를열어외부시스템과통신. 시스템파일삭제, 정보유출 ( 게임CD 시리얼키등 ) 이가능. 소개 Syn Flooding, Smurf와같은DoS 공격을수행 증상 네트워크가마비되거나, 급속도로느려짐. 네트워크장비가비정상적으로동작. 종류 져봇 (Zerbo), 클레즈 (Klez) 등 종류 아고봇 (Agobot), 블래스터 (Blaster.worm), 웰치아 (Welchia) 등 Section 04 기타악성코드 - 백도어와트로이목마 인터넷악성코드 트로이목마 사용자가의도하지않은코드를정상적인프로그램에삽입한프로그램 백도어 운영체제나프로그램을생성할때정상적인인증과정을거치지않고, 운영체제나프로그램등에접근할수있도록만든일종의통로. Administrative hook이나트랩도어 (Trap Door) 라고도부름. 증상 인터넷익스플로러의시작페이지가계속다른곳으로변경됨. 인터넷속도가느려지거나끊김. 시스템의비정상적인작동으로운영체제가사용불능의상태가됨. 사용자가의도하지않은코드를정상적인프로그램에삽입한프로그램 악성코드를예방법 익스플로러의 [ 도구 ]-[ 보안 ]-[ 사용자지정수준 ] 메뉴를클릭 [ 보안설정 ] 창에서각사항을 확인 으로설정 해당프로그램이인터넷에서자동으로설치되는것을막고사용자가확인할수있음.

8 스파이웨어 요약 스파이웨어 자신이설치된시스템의정보를원격지의특정한서버에주기적으로보내는프로그램. 사용자가주로방문하는사이트, 검색어등취향을파악하기위한것도있었으나, 패스워드등과같은특정정보를원격지에보냄. 악성코드 (Malicious Code) 수많은프로그램코드중에서사용자에게피해를입히거나악의적인동작을하는코드를말한다. 악성코드 ( 프로그램 ) 의종류 바이러스 사용자컴퓨터 ( 네트워크로공유된컴퓨터포함 ) 내에서사용자몰래프로그램이나실행가능한부분을변형해자신또는자신의변형을복사하는프로그램이다. 가장큰특성은복제와감염이다. 다른네트워크의컴퓨터로스스로전파되지는않는다. 웜 인터넷또는네트워크를통해서컴퓨터에서컴퓨터로전파되는프로그램이다. 다른컴퓨터의취약점을이용하여스스로전파되거나메일로전파된다. 백도어와트로이목마 바이러스나웜처럼컴퓨터에직접적인피해는입히지않으나다른악의적인공격자가컴퓨터에침투해컴퓨터를조작하도록하는프로그램이다. 고의적으로만들어졌다는점에서프로그래머의실수인버그와는다르며, 자기자신을다른파일에복사하지않는다는점에서컴퓨터바이러스와구별된다. 요약 악성프로그램으로인해발생할수있는증상 시스템관련 : 시스템설정정보변경, 파일시스템파괴, CMOS 정보파괴, 특정프로그램자동실행, 시스템종료등 네트워크관련 : 대량메일발송, 네트워크속도저하등 하드디스크및파일관련 : 백도어및웜을위한백업파일생성, 파일삭제등 특이증상 : 특정음발생, 이상화면출력, 메시지상자출력등 바이러스의종류 1세대원시형바이러스 부트바이러스 : MBR과함께PC 메모리에저장되고, 부팅후에사용되는모든프로그램에감염시킨다. 파일바이러스 : 바이러스에감염된실행파일이실행될때바이러스코드를실행한다. 바이러스는프로그램을덮어쓰는경우, 프로그램앞부분에실행코드를붙이는경우, 프로그램의뒷부분에바이러스코드를붙이는경우가있다. 2세대암호형바이러스 : 바이러스코드를암호화한다. 3세대은폐형바이러스 : 바이러스가활동할때까지일정기간동안잠복기를가지도록제작되었다. 정보보안개론 6 장끝 32

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

Microsoft PowerPoint - ch06_악성 코드 [호환 모드] 정보 보안 개론 6장 이 장에서 다룰 내용 1 2 3 2 4 악성 코드의 종류와 그 특성을 알아본다. 바이러스의 동작 원리를 이해한다. 웜의 동작 원리를 이해한다. 기타 악성 코드의 종류를 알아본다. Section 01 악성 코드의 역사와 분류 v 악성 코드의 정의 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로,