6장_악성 코드_최종

Similar documents
Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

*2008년1월호진짜

Microsoft Word - src.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Windows 8에서 BioStar 1 설치하기

07_alman.hwp

<C0CCC8ADC1F82E687770>

ActFax 4.31 Local Privilege Escalation Exploit

1. 정보보호 개요

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

NTD36HD Manual

컴퓨터관리2번째시간

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

System Recovery 사용자 매뉴얼

JDK이클립스

MF5900 Series MF Driver Installation Guide

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1장. 유닉스 시스템 프로그래밍 개요

*****

PowerPoint 프레젠테이션

*

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

ISP and CodeVisionAVR C Compiler.hwp

<B0B3C0CE5043BAB8BEC8BCB3C1A4C6C4C0CF2E687770>

1

Microsoft PowerPoint - chap01-C언어개요.pptx

PowerPoint 프레젠테이션

Chapter ...


untitled

리눅스 프로세스 관리

Keil Flexlm 라이선스 설명서

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

<736A2DC1A4BAB8C5EBBDC528BFCF292E687770>


<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

ADP-2480

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

MF3010 MF Driver Installation Guide

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

vRealize Automation용 VMware Remote Console - VMware

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Xcovery 사용설명서

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

CPU 점유율이 100%시 대처방법

1 인증서저장위치문의 원인 증상 인증서가보이지않습니다. ( 인증서선택창에서사용하던인증서가안보입니다.) 인증서가지정된위치에존재하지않거나인증서유효기간이 지난 ( 폐기된 ) 인증서로보이지않는것입니다. 1. 인증서가보이지않습니다. 1-1 인증서저장위치를확인합니다. 교육부 (E

tiawPlot ac 사용방법

untitled

2) 활동하기 활동개요 활동과정 [ 예제 10-1]main.xml 1 <LinearLayout xmlns:android=" 2 xmlns:tools="

Microsoft PowerPoint - thesis_rone.ppt

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

슬라이드 제목 없음

CODESYS 런타임 설치과정

Office 365 사용자 가이드

5th-KOR-SANGFOR NGAF(CC)

Microsoft Word - 3부A windows 환경 IVF + visual studio.doc

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

BMP 파일 처리

Windows Server 2012

Microsoft PowerPoint - 권장 사양

고객 카드

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

슬라이드 1

PowerPoint 프레젠테이션

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

F120L(JB)_UG_V1.0_ indd

PowerPoint 프레젠테이션

Windows 10 General Announcement v1.0-KO

Install stm32cubemx and st-link utility

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

네트워크 보안 Network Security

PowerPoint 프레젠테이션

Consider the USB Malicious Program.hwp

Secure Programming Lecture1 : Introduction

PowerPoint 프레젠테이션

UDP Flooding Attack 공격과 방어

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

MF Driver Installation Guide

Transcription:

Chapter 06. 악성코드 : 인터넷을통해전이되는웜과바이러스

1. 악성코드 2. 바이러스 3. 웜 4. 기타악성코드 5. 악성코드탐지및대응책

악성코드의종류와그특성을알아본다. 바이러스의동작원리를이해한다. 윔의동작원리를이해한다. 기타악성코드의종류를알아본다.

01 악성코드 악성코드의정의 제작자가의도적으로사용자에게피해를주고자만든모든악의적목적을가진프로그램및매크로, 스크립트 등컴퓨터상에서작동하는모든실행가능한형태 악성코드의역사 바이러스개념의정립 1972년 : 컴퓨터바이러스의개념이처음등장 소설가인데이비드제럴드의공상과학소설 When Harlie was One (Nelson Doubleday, 1972) 다른컴퓨터에계속자신을복제한후감염된컴퓨터의운영체제에영향을미쳐점차시스템을마비시키는장치를한과학자가제작해배포한다 는내용이소개 1984년 : 프레드코헨 (Fred Cohen) 이컴퓨터바이러스의개념정립 We define a computer virus as a program can infect other programs by modifying them to include a possibly evolved copy of itself. 최초의바이러스 [ 그림 6-1] When Harlie was One의표지 일반적으로 1986년에발견된브레인바이러스 (Brain Virus) 를최초의바이러스로인정 파키스탄에서프로그래머로일하던알비형제가자신들의소프트웨어가불법복제되는것에대한불만으로바이러스를만들어서뿌렸다고함.

01 악성코드 악성코드의역사 최초의웜 1988 : 미국의네트워크를마비시켰던 모리스웜 사건의원인이었던모리스웜이최초의웜으로알려져있음. 매크로바이러스출현 1999년 : 매크로바이러스로잘알려진멜리사 (Melissa) 바이러스가출현. 고난이도기술만이웜 / 바이러스제작에이용될수있다는인식을바꿔놓음. 매크로 (Macro) 란액셀이나워드에서특정한기능을자동화시켜놓은일종의프로그램 웜에의한대규모피해발생 2001년 : 코드레드 (Code Red) 웜에의해 8시간만에 25만대이상의컴퓨터가감염 이웜은윈도우 2000과윈도우 NT 서버를경유지로이용해미국백악관을공격하였는데, 국내도최소 3만대이상의시스템이피해를입은것으로추정됨. 인터넷대란 2003년 : 인터넷대란을일으킨 SQL_Overflow( 일명슬래머 ) 웜이등장 CAIDA에따르면, 기준으로 2003년 1월 25일 05시 29분에슬래머가퍼지기시작하여, 06시를기준으로전세계의 74,855대시스템이그림과같이감염됨. 8월에는 1~2분간격으로컴퓨터를강제재부팅시킴으로써국내외적으로큰피해를준블래스터웜 (Blaster Worm) 을시작으로, 웰치아웜 (Welchia Worm), 엄청난양의스팸메일을집중발송해전세계를깜짝놀라게한소빅.F 웜 (Sobig.F Worm) 등이발생

01 악성코드 악성코드의역사 [ 그림 6-2] 슬래머웜의전파 변종웜의발생 2000년중반에들어서면서웜의다양한변종이지속적으로등장해컴퓨터사용자를괴롭힘. 2005년 : 멀티미디어메시징서비스 (MMS) 를이용해감염된휴대폰에저장된전화번호로악성코드를퍼뜨리는휴대폰악성코드컴워리어 (CommWarrior) 가등장 플로피디스크와같은저장미디어나인터넷등을통해서만전파되던악성코드가핸드폰통신망을통해전파되기에이름. 악성코드는수백만종에이르며, 악성코드로인한피해액은수백억달러에이르고그액수도해마다커지고있음.

01 악성코드 악성코드의분류 [ 표 6-1] 악성코드의분류 이름 ( 코드 ) 바이러스웜트로이목마인터넷악성코드스파이웨어 설명 사용자컴퓨터 ( 네트워크로공유된컴퓨터포함 ) 내에서사용자몰래프로그램이나실행가능한부 분을변형해자신또는자신의변형을복사하는프로그램이다. 가장큰특성은복제와감염이다. 다른네트워크의컴퓨터로스스로전파되지는않는다. 인터넷또는네트워크를통해서컴퓨터에서컴퓨터로전파되는악성프로그램이다. 윈도우의취약점또는응용프로그램의취약점을이용하거나이메일이나공유폴더를통해전파되 며, 최근에는공유프로그램 (P2P) 을이용하여전파되기도한다. 바이러스와달리스스로전파되는특성이있다. 바이러스나웜처럼컴퓨터에직접적인피해를주지는않지만, 악의적인공격자가컴퓨터에침투 하여사용자의컴퓨터를조종할수있는프로그램이다. 고의적으로만들어졌다는점에서프로그래머의실수인버그와는다르다. 자기자신을다른파일에복사하지않는다는점에서컴퓨터바이러스와구별된다. 인가되지않은성인사이트나크랙사이트등에접속할때감염된다. 예전에는인터넷악성코드로끝나는경우가많았으나최근에는웜의형태로전이되고있다. 자신이설치된시스템의정보를원격지의특정한서버에주기적으로보내는프로그램이다. 사용자가주로방문하는사이트, 검색어등취향을파악하기위한것도있지만패스워드등과같은 특정정보를원격지에보내는스파이웨어도존재한다.

01 악성코드 악성코드의분류 [ 표 6-2] 악성프로그램으로인해발생할수있는증상 대분류 소분류 설명 시스템설정정보변경 변경레지스트리키값을변경하여시스템의정보를변경한다. FAT 파괴 시스템의파일시스템을파괴한다. CMOS 변경 CMOS 내용을변경하여부팅때에러를발생시킨다. CMOS 정보파괴 CMOS 의일부를파괴한다. 시스템관련 기본메모리감소시스템의기본메모리를줄인다. 시스템속도저하 시스템의속도를저하시킨다. 프로그램자동실행 레지스터리값을변경해시스템을부팅할때특정프로그램을자동으로실행시킨다. 프로세스종료 특정프로세스를강제로종료시킨다. 시스템재부팅 시스템을재부팅시킨다. 메일발송 특정사용자에게메일을발송한다. 정보유출 사용자의정보를네트워크를통해서공격자컴퓨터로전송한다. 네트워크관련 네트워크속도저하감염된컴퓨터가속한네트워크가느려진다. 메시지전송메시지를네트워크를통해다른컴퓨터로전달한다. 특정포트오픈특정백도어포트를연다. 하드디스크관련 하드디스트포맷하드디스크를포맷한다. 부트섹터파괴하드디스크의특정부분을파괴한다. 파일생성특정파일 ( 주로백도어파일 ) 을생성한다. 파일관련 파일삭제특정파일이나디렉터리를삭제한다. 파일간염바이러스가특정파일을감염시킨다. 파일손상바이러스가특정파일에겹쳐쓰기형태로감염되면파일이손상된다. 이상화면출력출력화면에특정내용이나타난다. 특이증상 특정음발생컴퓨터에서특정음이난다. 메시지상자출력화면에특정메시지상자가나타난다. 증상없음특이한증상이없다.

02 바이러스 바이러스의정의 악성코드중에가장기본적인형태 사용자컴퓨터 ( 네트워크로공유된컴퓨터포함 ) 내에서사용자몰래프로그램이나실행가능한부분을변형해자신또는자신의변형을복사하는프로그램을말함 최초의악성코드가만들진 1980년대이후에서 2000년대초반까지악성코드의주류를차지 1 세대 : 원시형바이러스 부트바이러스 플로피디스크나하드디스크의부트섹터에감염되는바이러스로, 부팅할때자동으로동작 1단계 : POST POST는하드웨어자체가시스템에문제가없는지기본사항을스스로체크하는과정 BIOS에의해서실행되는데, POST 도중하드웨어에서문제가발견되면사용자에게여러방법으로그문제를알림. 2단계 : CMOS CMOS에서는기본장치에대한설정과부팅순서를설정할수있음. BIOS는CMOS에서이런기본설정사항을읽어시스템에적용 [ 그림 6-3] CMOS 의부팅순서결정

02 바이러스 1 세대 : 원시형바이러스 3단계 : 운영체제위치정보로드 윈도우 2003 이전 : CMOS 정보를읽어부팅매체를확인한뒤부팅매체의 MBR(Master Boot Record) 정보를읽음.» MBR은운영체제가어디에, 어떻게위치해있는지를식별하여컴퓨터의주기억장치에적재될수있도록하기위한정보로, 하드디스크나디스켓의첫번째섹터에저장되어있음.» MBR은메모리에적재될운영체제가저장된파티션의부트섹터레코드를읽을수있는프로그램» 이때부트섹터레코드는운영체제의나머지부분을메모리에적재시키는프로그램을담고있음. 윈도우 2008 이후 : 윈도우부트서브시스템 (Window Boot Manager) 이실행됨.» 윈도우부트서브시스템은 bootmgr.exe가실행되고부트설정데이터 (BCD, Boot Configuration Data) 를읽어실행가능한운영체제의목록을보여줌.» 이것은 NTDLR이 boot.ini을읽어실행가능한운영체제의목록을보여주는것과같음. 부트바이러스는이 3 단계에서동작. 부트바이러스에감염된플로피디스크로운영체제를구동시키면바이러스가 MBR 과함께 PC 메모리에저장되고부팅 후에사용되는모든프로그램에자신을감염시킴. 부트바이러스는브레인, 몽키, 미켈란젤로바이러스가있음.

02 바이러스 1 세대 : 원시형바이러스 파일바이러스 파일을직접감염시키는바이러스 하드디스크가 PC에서일반화되면서그대안으로나온형태 일반적으로 COM이나 EXE와같은실행파일과오버레이파일, 디바이스드라이버등에감염 전체바이러스의 80% 이상을차지 바이러스에감염된실행파일이실행될때바이러스코드를실행. [ 그림 6-4] 파일바이러스의감염위치

02 바이러스 1 세대 : 원시형바이러스 파일바이러스 바이러스가프로그램의뒷부분에위치하게된이유는백신의바이러스스캔으로부터자신의존재를숨기기위해서임. [ 그림 6-5] 바이러스가프로그램뒤에있는경우실행루틴 예루살렘바이러스가최초의파일바이러스로알려져있음 이외에도썬데이, 스콜피온, 크로우, FCL 등이있음. CIH 바이러스도이에해당됨.

02 바이러스 2 세대 : 암호형바이러스 바이러스코드를쉽게파악하고제거할수없도록암호화한바이러스 바이러스제작자들은백신의진단을우회하기위해자체적으로코드를암호화하는방법을사용하여백신프로그램이진단하기힘들게만들기시작함. [ 그림 6-6] 암호화된바이러스코드 바이러스가동작할때메모리에올라오는과정에서암호화가풀림. 이를이용하여메모리에실행되어올라온바이러스를거꾸로분석하여감염파일과바이러스를분석하고치료 슬로우 (Slow), 캐스케이드 (Cascade), 원더러 (Wanderer), 버글러 (burglar) 등이있음. 3 세대 : 은폐형바이러스 바이러스에감염된파일들이일정기간의잠복기를가지도록만들어진바이러스 확산되기도전에바이러스가활동하기시작하면다른시스템으로전파되기힘들기때문. 이런이유로감염이되더라도실제로바이러스가동작하기전까지쉽게그존재를파악하기힘들었음. 브레인 (Brain), 조시 (Joshi), 512, 4096 바이러스등이있음.

02 바이러스 4 세대 : 다형성바이러스 백신프로그램이특정식별자를이용하여바이러스를진단하는기능을우회하기위해만들어진바이러스. 다형성바이러스는코드조합을다양하게할수있는조합 (Mutation) 프로그램을암호형바이러스에덧붙여감염 실행될때마다바이러스코드자체를변경시켜식별자로구분하기어렵게함. [ 그림 6-7] 다형성바이러스

02 바이러스 5 세대 : 매크로바이러스 기존의바이러스는실행할수있는파일 (COM이나 EXE) 에감염된반면, 매크로바이러스는엑셀또는워드와같은문서파일의매크로기능을이용하기때문에워드나엑셀파일을열때감염됨. 워드컨셉트 (Word Concept), 와쭈 (Wazzu), 엑셀-라룩스 (Laloux) 바이러스등이있음. [ 그림 6-7] 다형성바이러스

02 바이러스 5 세대 : 매크로바이러스 매크로바이러스의증상 문서가정상적으로열리지않거나암호가설정되어있음. 문서내용에깨진글자나이상한문구가포함되어있음. 도구메뉴중매크로메뉴가실행할수없게잠겨있음. 액셀이나워드작업중 VB(Visual Basic) 편집기의디버그모드가실행됨. 차세대바이러스 최근에는매크로바이러스에서나타난스크립트형태의바이러스가더욱활성화되고있음. 대부분네트워크와메일을이용하여전파되는방식 바이러스는단순히데이터를파괴하고다른파일을감염시키는형태에서벗어나, 사용자정보를빼내가거나시스템을장악하기위한백도어기능을가진웜의형태로진화하고있음

03 웜 웜의등장 웜 (Worm) 은인터넷또는네트워크를통해서컴퓨터에서컴퓨터로전파되는프로그램을의미 1999년다른사람의이메일주소를수집하고스스로전달되는형태의인터넷웜이출현하면서일반인에게웜이라는용어가알려지기시작 이메일에첨부파일형태로첨부되어확산되거나, 운영체제나프로그램의보안취약점을이용하여스스로침투하는것이일반적 현재는 mirc 채팅프로그램, P2P 파일공유프로그램, 이메일관련스크립트기능, 네트워크공유기능등의허점을이용하여확산하고증식하는경우도있어피해와부작용의범위 / 크기가계속커지고있음. MASS Mailer 형웜 MASS Mailer형웜은자기자신을포함하는대량메일발송을통해확산 최근발생한웜중약 40% 가 MASS Mailer 형에해당. 제목이없거나특정제목으로전송되는메일을읽었을때감염 치료하지않으면시스템에계속기생하면서시스템내부에서메일주소를수집해계속메일을보냄. MASS Mailer형웜의주요증상 메일로전파. 감염된시스템이많으면 SMTP 서버 (TCP 25번포트 ) 의네트워크트래픽이증가 베이글은웜파일을실행할때 Can't find a viewer associated with the file 과같은가짜오류메시지를출력 넷스카이는윈도우시스템디렉터리밑에 CSRSS.exe를만듦. 변형된종류에따라시스템에임의의파일을생성 확인되지않은메일을열어볼때확산됨. MASS Mailer형웜의종류로는베이글 (Bagle), 넷스카이 (Netsky), 두마루 (Dumaru), 소빅 (Sobig) 등이있음.

03 웜 시스템공격형웜 운영체제고유의취약점을이용해내부정보를파괴하거나, 컴퓨터를사용할수없는상태로만들거나, 혹은외부의공격자가시스템내부에접속할수있도록백도어를설치하는웜 시스템공격형웜의주요증상 전파할때과다한 TCP/135,445 트래픽이발생 windows, windows/system32, winnt, winnt/system32 폴더에 SVCHOST.EXE 등의파일을설치 공격성공후 UDP/5599 등의특정포트를열어외부시스템과통신 시스템파일삭제, 정보유출 ( 게임CD 시리얼키등 ) 이가능 [ 그림 6-9] 취약한시스템에대한웜의공격 시스템공격형웜의종류로는아고봇 (Agobot), 블래스터 (Blaster.worm), 웰치아 (Welchia) 등이있음.

03 웜 네트워크공격형웜 특정네트워크나시스템에대해 Syn Flooding, Smurf와같은서비스거부 (DoS) 공격을수행 네트워크공격형웜은분산서비스거부 (DDOS) 공격을위한봇 (Bot) 과같은형태로발전하고있음. 네트워크공격형웜의주요증상 네트워크가마비되거나, 급속도로느려짐. 네트워크장비가비정상적으로동작 [ 그림 6-10] 웜에의해감염된시스템에서의네트워크공격 네트워크공격형웜의종류로는져봇 (Zerbo), 클레즈 (Klez) 등이있음.

04 기타악성코드 백도어와트로이목마 백도어 (Backdoor) 의원래의미는운영체제나프로그램을생성할때정상적인인증과정을거치지않고, 운영체제나프로그램등에접근할수있도록만든일종의통로 다른말로 Administrative hook이나트랩도어 (Trap Door) 라고도함. 트로이목마는사용자가의도하지않은코드를정상적인프로그램에삽입한형태 [ 그림 6-11] 트로이목마

04 기타악성코드 인터넷악성코드 인터넷악성코드의증상 인터넷익스플로러의시작페이지가계속다른곳으로변경됨. 인터넷속도가느려지거나끊김. 시스템의비정상적인작동으로운영체제가사용불능의상태가됨. 인터넷악성코드를막는방법 익스플로러의 [ 도구 ]-[ 보안 ]-[ 사용자지정수준 ] 메뉴를클릭 [ 보안설정 ] 창에서각사항을 확인 으로설정 해당프로그램이인터넷에서자동으로설치되는것을막고사용자가확인할수있음. 스파이웨어 자신이설치된시스템의정보를원격지의특정한서버에주기적으로보내는프로그램 사용자가주로방문하는사이트, 검색어등취향을파악하기위한것도있었으나, 패스워드등과같은특정정보를원격지에보내는스파이웨어도있음.

05 악성코드탐지및대응책 네트워크상태점검하기 상당수의백도어는외부 ( 해커, 악성코드작성자 ) 와의통신을위해서비스포트를생성 [ 표 6-2] 악성프로그램으로인해발생할수있는증상 포트번호 트로이목마 포트번호 트로이목마 21 TrojanFore 1080 WinHole 23 Tiny Telnet Server[TTS] 1090 Xtreme 25 NaebiHappy 1150 Orion 31 Agent, ParadiseMasters 1234 Ultors Trojan 41 DeepThroat Foreplay 1243 Backdoor G 80 WWW Tunnel 1245 VooDoo Doll 119 Happy 99 1257 Frenzy 2000 133 Farnaz 1272 The Matrix 137 ChodeMSinit (UDP) 1441 Remote Storm 514 RPCBackdoor 1524 Trin00 555 Seven Eleven 1999 Sub Seven 666 ServeU 2140 Deep Throat 1.3 667 SniperNet 2255 Nirvana 777 AIM Spy 2583 WinCrash 808 WinHole 2773 Sub Seven Gold 2.1 999 Deep Throat 3459 Eclipse 2000 1001 Silencer 5400 Blade Runner 1016 Doly Trojan 5880 Y3K Rat 1024 NetSpy 8787 BackOrifice 2000

05 악성코드탐지및대응책 네트워크상태점검하기 시스템에서는 netstat 와같은명령으로열려있는포트를확인할수있음. [ 그림 6-15] netstat an 실행결과

05 악성코드탐지및대응책 네트워크상태점검하기 악성코드가사용하는포트를확인하기어려운경우 CPorts와같은프로그램을사용하여서비스포트별로사용하는응용프로그램을확인할수있음. BackDoor-DVR를실행한뒤 CPorts에서활성화된네트워크항목을살펴보면특이한연결이존재 (a) (b) [ 그림 6-15] CPorts 실행결과

05 악성코드탐지및대응책 정상적인프로세스와비교하기 윈도우와유닉스시스템등의정상적인프로세스를외워두면비정상적인프로세스를식별하는데많은도움이됨. 윈도우시스템이동작하기위한기본프로세스 Csrss.exe(Client/Server Runtime SubSystem : Win 32) : 윈도우콘솔을관장하고, 스레드를생성 삭제하며 32비트가상 MS-DOS 모드를지원 Explorer.exe : 작업표시줄, 바탕화면과같은사용자셸을지원 Lsass.exe(Local Security Authentication Server) : Winlogon 서비스에필요한인증프로세스를담당 Mstask.exe(Window Task Scheduler) : 시스템에대한백업이나업데이트등에관련된작업의스케줄러 Smss.exe(Session Manager SubSystem) : 사용자세션을시작하는기능을담당. 이프로세스는 Winlogon, Win32(Csrss.exe) 을구동시키고, 시스템변수를설정. Smss는 Winlogon이나 Csrss가끝나기를 [ 그림 6-16] 윈도우에서동작중인프로세스확인기다려정상적인 Winlogon, Csrss 종료시시스템을종료시킴. Spoolsv.exe(Printer Spooler Service) : 프린터와팩스의스풀링기능을담당 Svchost.exe(Service Host Process) : DLL(Dynamic Link Libraries) 에의해실행되는프로세스의기본프로세스. 한시스템에서여러개의 svchost 프로세스를볼수있음.

05 악성코드탐지및대응책 정상적인프로세스와비교하기 웜 / 바이러스나백도어가주로사용하는서비스명은 Csrss와 Svchost Services.exe (Service Control Manager) : 시스템서비스를시작 정지시키고, 그들간의상호작용하는기능을수행 System : 대부분의커널모드스레드의시작점이되는프로세스 System Idle Process : 각 CPU마다하나씩실행되는스레드로서 CPU의잔여프로세스처리량을 % 로나타낸값 Taskmgr.exe(Task Manager) : 작업관리자자신 Winlogon.exe(Windows Logon Process) : 사용자로그인 / 로그오프를담당하는프로세스. 윈도우의시작 / 종료시에활성화되며 Ctrl+Alt+Delete 키를눌렀을경우에도활성화됨. Winmgmt.exe (Window Management Service) : 장치에대한관리및계정관리, 네트워크등의동작에관련한스크립트를위한프로세스 msdtc.exe (Distributed Transaction Coordinator) : 웹서버및 SQL 서버구동시에다른서버와의연동을위한프로세스 ctfmon.exe (Alternative User Input Services) : 키보드, 음성, 손으로적은글등여러가지텍스트입력에대한처리를할수있도록지원하는프로세스 dfssvc.exe (Distributed File System (DFS)) : 분산파일시스템 (Distributed File System (DFS)) 에대한지원을위해백그라운드로실행되고있는프로세스

05 악성코드탐지및대응책 정상적인프로세스와비교하기 좀더자세한프로세스정보를알고싶은경우에는 Process Explorer 를사용 [ 그림 6-17] Process Explorer 를이용한프로세스확인

05 악성코드탐지및대응책 정상적인프로세스와비교하기 Process Explorer 에서 [View]-[Show Lower Pane] 옵션을선택하면해당프로세스에자세한정보를알수있음. [ 그림 6-18] Process Explorer 를이용한 2368 번프로세스확인

05 악성코드탐지및대응책 정상적인프로세스와비교하기 정상적인인터넷익스플로어를실행시켜상세창에서해당프로세스를살펴보자. 비정상적인인터넷익스플로어프로세스와는상당히상이함을알수있음. [ 그림 6-19] Process Explorer 를이용한정상적인인터넷익스플로어프로세스확인

05 악성코드탐지및대응책 정상적인프로세스와비교하기 두개의 iexplore.exe 프로세스의속성창을비교해보면 Current directory 값만서로다를뿐나머지는모두같음. 이상프로세스로보이는 2368 프로세스의값은 C:\Windows\system32 정상적인프로세스는 C:\Users\diyang\Desktop (a) 이상이있는경우 (b) 정상적인경우 [ 그림 6-20] 이상프로세스와정상적인인터넷익스플로어프로세스의속성창

05 악성코드탐지및대응책 백도어의실질적인파일확인하기 악성코드파일을확인할때는 total commander와같은툴을사용 total commander를이용해백도어를확인하기전에 [ 환경설정 ]-[ 옵션 ]-[ 화면 ] 에서 [ 숨김 / 시스템파일표시 ] 옵션을활성화시켜야함. [ 그림 6-21] [ 숨김 / 시스템파일표시 ] 옵션을활성화

05 악성코드탐지및대응책 백도어의실질적인파일확인하기 파일을찾을때에는 Process Explorer 에서확인한파일명을검색하는방법을우선적으로사용할수있음. [ 그림 6-22] Bifrost 폴더확인 해당폴더를살펴보면 logg.dat 파일과 server.exe 파일이존재 대부분의악성코드가 C:\Windows\system32 를공략하기때문에반드시확인해야함. [ 그림 6-23] C:\Windows\system32 폴더확인

05 악성코드탐지및대응책 시작프로그램과레지스트리확인하기 윈도우시스템은시작프로그램등의시스템운영과관련하여리부팅되더라도기본설정값이변하지않도록레지스트리에여러가지값을기록해둠. 백도어역시이러한레지스터를이용하는경우가많기때문에백도어를삭제할때에는레지스터에서도이러한내용을확인해야함. 시작프로그램목록은 msconfig 명령을통해확인 [ 그림 6-24] 시작프로그램확인

05 악성코드탐지및대응책 백도어제거하기 백도어를삭제하는절차 백도어프로세스의중지 2368 프로세스를 Kill Process Tree(Shift Del) 로중지시킴 백도어파일의삭제 Bifrost 폴더에서확인한파일을삭제 C:\Windows\system32 폴더에서확인한파일을삭제 C:\Program Files\MisoFile 폴더에서확인한파일을삭제 레지스트리삭제 시작프로그램에서확인한사항을삭제 regedit 로레지스트리경로를확인할수있는데, 레지스트리에서해당항목을삭제함. [ 그림 6-25] 레지스트리에서해당레지스트리확인