🦠 컴퓨터 바이러스
- 컴퓨터 바이러스의 개념
- 1980년대에 최초 발견, 현재까지 악성코드의 주류를 차지
- 감염 증상 : 컴퓨터 속도 감소, 부팅 불가능, 화면 깜빡임, 소리, 시스템 충돌, 파일 삭제 등
- 특징 : 자기 복제 → 빠른 확산, 악의적 기능 (파일 삭제 등), 트래픽 부하 증가
- 컴퓨터 바이러스 분류
- 원시형 바이러스 : 컴퓨터 바이러스 등장 초기의 형태 → 자기 복제, 데이터 파괴 기능
- 매크로 바이러스 : 응용프로그램의 스크립트 실행 환경을 활용 → 바이러스 복제
- 암호화 바이러스 : 바이러스 코드를 쉽게 파악, 제거하지 못하게 암호화됨
- 은폐형 바이러스 : 안티바이러스 소프트웨어로부터 자신을 숨길 수 있는 바이러스
- 다형성 바이러스 : 특정 식별자로 진단하는 기능을 우회하는 바이러스
- 컴퓨터 바이러스의 확산 경로
- 네트워크를 통한 확산 : 빈도는 낮지만 네트워크 연결된 모든 컴퓨터를 대상 → 효과적 확산 기법
- 이메일을 통한 확산 : 예) MS 아웃룩 주소록 리스트 활용 → 자기 자신의 변형 복제를 보냄
- 그 외에도 웹, 내부 이메일 엔진 등 다양한 루트를 통해 컴퓨터 바이러스가 확산되고 있음
- 바이러스 탐지 및 제거
- 안티 바이러스 프로그램 : 컴퓨터 바이러스를 탐지, 제거하는 프로그램
- 바이러스 고유의 특정 패턴 → 바이러스의 시그니처 스캔 → 주기적인 업데이트로 바이러스 탐지
- 바이러스의 여러 가지 행동 일반화 → (그런 행동이) PC에서 발생하는지 지속적인 탐지
- 대처법 : 의심스러운 첨부 파일 열지 않기, 안티 바이러스 엔진 주기적 업데이트
🐛 컴퓨터 웜
- 컴퓨터 웜의 개념
- 자기 복제를 하는 악성 프로그램
- 바이러스와 달리 다른 파일을 감염시키지 않고 스스로 증식한다.
- 1999년 다른 사람의 이메일 주소를 수집하고 스스로 전달되는 최초의 인터넷 웜 등장
- 이메일의 첨부파일로 확산, 운영체제 프로그램의 보안적 취약점을 활용하여 스스로 침투한다.
- 웜의 특징
- 클라이언트와 서버로 구성된 시스템의 취약점 활용
- 시스템에서 시스템으로 퍼져나가는 네트워크 사용
- 공유된 장치 (USB, CD 등)를 통해 퍼져나감
- 첨부 파일을 포함한 스크립트, 매크로로 확산되는 이메일 웜→ 작동하자마자 복제, 확산
- 보통 페이로드 형태로 이동
- 다양한 웜의 형태
- 슬래머 웜
- 2003년도 발생, 역사상 가장 빠르게 퍼져나간 웜
- MS 데이터베이스 서버에 버퍼 오버플로우 발생시킴
- 임의, 불특정 서버에 감염된 패킷을 보냄으로써 확산
- 10분 만에 전 세계의 20만 대 서버 감염
- 파괴적인 페이로드는 없었으나 많은 패킷들이 1시간 동안 인터넷 서버들을 다운시킴
- 모바일 폰 웜
- 모바일 폰에 기생, 번식하는 웜
- 2004 캐이버 웜 최초 발견, 2005 Lasco, Comm Warrior 등 모바일 웜 출현
- 블루투스, MMS 통한 연결을 지향, 모바일 폰을 고장 내거나 데이터 지우고 비용 큰 메시지 송신
- Comm Warrior는 다른 폰에 블루투스로 자기 복제, 접촉 위해 자신을 MMS 파일로 송신
+ 감염된 모바일 폰에 들어오는 텍스트 메시지에 자동 응답
- MASS Mailer 웜
- 자기 자신을 포함한 대량 메일 발송을 통해 확산.
- 최근 몇 년간 발생한 웜 중 약 40% 차지
- 제목 없거나, 특정 제목으로 메일 전송 → 사용자가 메일 읽으면 바로 감염
- 치료하지 않으면 시스템 내부에 기생하면서 메일 주소를 수집해 계속 메일 송신
- 슬래머 웜
- 웜의 공격 형태
- 1. 시스템 공격형 웜
- 운영체제 고유의 취약점 이용하여 내부 정보 파괴 → 컴퓨터를 사용할 수 없는 상태로 만듦
- 외부의 공격자가 시스템 내부에 접속할 수 있도록 백도어를 설치하는 웜
- 주요 증상 : 전파 시 과다한 TCP 트래픽 발생
- 공격 성공 시 특정 포트(UDP/5599 등) 열어 외부 시스템과 통신하여 확산
- 2. 네트워크 공격형 웜
- 특정 네트워크나 시스템에 대해 서비스 거부 공격 (Syn Flooding 등) 수행
- 버퍼 오버플로우 등 시스템의 취약점을 이용한 확산, 공격
- 주요 증상 : 네트워크가 마비되거나 급속도로 감소
- 네트워크 장비가 비정상적으로 동작
- 1. 시스템 공격형 웜
🐴 트로이 목마 바이러스
- 트로이 목마 바이러스의 개념
- 선해 보이지만 악의적인 목적을 가지고 있는 프로그램
예) 호감 가는 스크린 화면 다운 → 여러 가지 악성 코드들이 포함됨
예) 타이핑하는 모든 내용이 해커에게 전달되는 키로거, 뒷문 개방 프로그램 - 트로이 목마는 특정 의도를 가지고 제작된다 : 특정 개인 염탐, 특정 집단 공격 등
- 바이러스나 웜에 의해 설치되는 경우 많음 + 이메일에 첨부된 스크립트가 트로이 목마
- 바이러스, 웜과 달리 다른 프로그램이나 PC를 통해 전염되지 X
- 주요 감염경로 : 이메일 첨부파일 확장자가 exe,vbs,com,bat,zip인 경우 의심
- P2P 사이트에서 다운로드 받는 프로그램에 트로이 목마 많이 있다
ex) 쉐어웨어, 프리웨어에도 존재 - 스마트폰에서도 발견 → 사용자 동의 없이 유료 서비스 번호로 문자 메시지 발송 등
- 선해 보이지만 악의적인 목적을 가지고 있는 프로그램
- 백도어 공격
- 운영체제, 프로그램을 생성 시 정상적 인증 과정을 거치지 X
- 운영체제, 프로그램에 접근할 수 있는 비밀통로 (트랩 도어라고도 불림)
- 예) 엑셀에 숨겨진 자동차 게임, 도스용 한글의 테트리스
→ 정상적 프로그램에 내재되어 정상적 인증 절차 없이 실행 - 최근에는 백도어와 트로이 목마 구분하지 않고 백도어로 통칭
- 트로이 목마의 대처 방안 : 백신 프로그램 설치, OS, 웹브라우저, 백신 주기적인 업데이트
- 바이러스, 웜, 트로이 목마의 차이점
- 바이러스 : 멀웨어 유형 중 하나로 자기 자신을 복사하고 다른 프로그램의 일부가 됨
- 웜 : 다른 컴퓨터의 취약점을 이용하여 스스로 전파 or 메일을 통해 전파하는 멀웨어
- 트로이 목마 : 정상적 SW로 보이지만 실제로는 그 안에 비정상적 프로그램 설치된 경우
+ 웜, 바이러스와 달리 스스로 복제 X - 바이러스와 웜의 공통점 : 다른 PC의 취약점을 이용하여 스스로 전파되거나 메일 등을 통해 전염
* 이 게시글은 K-MOOC 정보보호와 보안의 기초 (링크) 강의를 듣고 개인 학습용으로 정리한 내용입니다.
'학습 정리 > 🦴 CS Study' 카테고리의 다른 글
| 8. 네트워크 패킷, 스니핑·스누핑·스푸핑, wireshark (0) | 2022.12.12 |
|---|---|
| 7. 디지털 포렌식 (0) | 2022.12.11 |
| 5. 대칭 암호와 비대칭 암호, 암호화 (0) | 2022.12.11 |
| 4. 네트워크 보안 (0) | 2022.12.11 |
| 3. 네트워크 이해 (0) | 2022.12.11 |