이번 포스트에선 Worm과 Virus에 대해 알아 보겠습니다.
Worm vs Virus
Worm은 Victim에 삽입되어 Network를 통해 자가 복제되는 Malware이고, Virus는 Victim의 정상 Process에 기생하여 감염시키는 Malware이다.
Morris worm
1988년에 exploit 된 최초의 worm으로, Buffer Overflow의 취약점을 이용한 Malware이다.
int main(int argc, char* argv[]){
char line[512];
/*
Omitted
*/
gets(line); // Buffer Overflow
/*
Omitted
*/
}위 코드는 Morris worm에 사용된 BUffer Overflow 발생 코드 예시이다.
strcpy(), gets() 와 같은 Buffer Overflow에 취약한 함수를 사용하는 것을 악용하여 공격을 진행했다.
Buffer Overflow
Buffer에 Data를 쓰는 SW가 Buffer 용량을 초과하여 인접한 Memory 위치를 덮어쓸 때 발생하는 현상이다.
Code-Red (CRv2)
MS IIS server Attack 사례로 Index Server에 ISAPI Extension에서 확인되지 않은 Buffer로 인해 웹 서버가 손상될 수 있는 Buffer Overflow.
Web server로의 HTTP GET 요청을 통해 Buffer Overflow가 발생한다.
무작위 문자열로 Buffer Overflow를 발생 시킨 후 인접 Memory에 Attack Code가 삽입되게 request 보낸다.
Network Intrusion (CIA Model)
Confidentiality(기밀성), Integrity(무결성), Availability(가용성) 보안 시스템 개발의 기반하는 모델.
암호화를 통해 기밀성을 유지하고 Hash와 같은 One-Way function을 통해 무결성을 유지하고, 어떤 상황에서도 정보 시스템을 사용 가능하도록 가용성을 보장하는 것을 목표로 해야한다.
지금까지 worm과 virus에 대한 개념과 사례들을 간단히 알아봤습니다. 다음 포스트부터 본격적으로 Network Security 관련 내용들을 다뤄보도록 하겠습니다.
