웜(worm)의 개념

이선아·2022년 1월 9일
악성 코드정보보안개론
2

악성 코드

목록 보기
3/4
  • 웜(worm)은 원래 '벌레'와 '증식'을 뜻하는 말로, IT 분야에서는 인터넷 또는 네트워크를 통해 컴퓨터에서 컴퓨터로 전파되는 프로그램을 의미합니다.
  • 다른 컴퓨터의 취약점을 이용하여 스스로 전파되거나 메일로 전파되지만, 다른 파일을 감염시키는 컴퓨터 바이러스와는 다릅니다.
  • 컴퓨터 바이러스는 부트 영역에 침입하거나, 메모리에 상주하거나, 정상 파일에 침입하여 감염시키지만 웜은 자신을 증식하는 것이 목적입니다. 따라서 웜은 파일 자체에 이런 기능이 있거나 운영체제에 자신을 감염시킵니다.
  • 오늘 날의 웜은 이메일의 첨부 파일 형태로 확산되거나, 운영체제 또는 프로그램의 보안 취약점을 이용하여 스스로 침투하는 형태를 띠고 잇습니다.
  • 웜의 기능과 함께 다른 파일을 감염시키는 컴퓨터 바이러스의 기능을 가진 복합적인 형태의 웜도 존재합니다. 웜은 전파 형태에 따라 매스메일러형, 시스템 공격형, 네트워크 공격형으로 분류할 수 있습니다.

📌 매스메일러형 웜

매스메일러형 웜은 자기 자신을 포함하는 대량 메일을 발송하여 확산되는 형태입니다. 최근 몇 년간 발생한 웜 중 약 40%는 매스메일러형에 해당한다고 합니다.
매스메일러형 웜은 제목이 없는 메일이나 특정 제목의 메일을 전송하고, 사용자가 이런 메일을 읽었을 때 시스템이 감염됩니다. 이를 치료하지 않으면 웜이 계속 기생하면서 시스템 내부에서 메일 주소를 수집하여 메일을 계속 보냅니다.

매스메일러형 웜의 주요 특징과 증상

  • 메일로 전파됩니다. 감염된 시스템이 많으면 SMTP 서버(TCP 25번 포트)의 네트워크 트래픽이 증가합니다.
  • 출처나 내용이 확인되지 않은 메일을 열었을 때 확산되는 경우가 많습니다.
  • 베이글 웜은 웜 파일을 실행할 때 'Can't find a viewer associated with the file'과 같은 가짜 오류 메시지를 출력합니다.
  • 넷스카이 웜은 윈도우 시스템 디렉토리 밑에 CSRSS.exe 실행 파일을 만듭니다.
  • 변형된 종류에 따라 시스템에 임의의 파일을 생성합니다.

웜의 종류와 변종에 따라 전송되는 메일을 제목과 본문 내용은 모두 다르지만 한글인 경우는 없습니다. 파일 용량을 크지 않으며 보통 jpg, zip 등의 파일이 첨부됩니다.
또한 메일을 열면 시스템에서 수집 가능한 모든 메일 주소로 메일을 계속 보내어 네트워크 트래픽이 폭주합니다.
매스메일러형 웜에는 베이글, 넷스카이, 두마루, 소박 등이 있습니다.

📌 시스템 공격형 웜

시스템 공격형 웜은 운영체제 고유의 취약점을 이용하여 내부 정보를 파괴하거나, 컴퓨터를 사용할 수 없는 상태로 만들거나, 외부의 공격자가 시스템 내부에 접속할 수 있도록 악성 코드를 설치하는 형태입니다.
시스템 공격형 웜 중에는 간단한 패스워드 크래킹 알고리즘을 포함하고 있어 패스워드가 취약한 시스템을 공격하는 웜도 있습니다.

시스템 공격형 웜의 주요 특징과 증상

  • 전파할 때 과다한 TCP/135,445 트래픽이 발생한다.
  • windows, windows/system32, winnt, winnt/system32 폴더에 SVCHOST.exe 파일을 설치한다.
  • 공격 성공 후 UDP/5599 등의 특정 포트를 열어 외부 시스템과 통신한다.
  • 시스템 파일 삭제 또는 정보 유출(게임 CD의 시리얼 키 등)이 가능하다.

시스템 공격형 웜에는 아고봇, 블래스터 웜, 웰치아 등이 있습니다. 이 유형의 웜은 MS03-001 RPC Locator 취약점, MS03-007 WebDAV 취약점, MS03-026 RPC DCOM(TCP 135) 취약점 등을 공격합니다.

이 중 웰치아는 가장 치명적인 웜이라고 할 수 있습니다. ICMP 패킷을 전송하면서 살아있는 시스템을 찾고, 컴퓨터에 설정된 시스템 IP를 기준으로 B 클래스의 주소를 고정시킨 뒤 C 클래스 대역의 IP를 계속 증가시키면서 ICMP 패킷을 전송합니다.
살아 있는 시스템이 있으면 TCP/135번의 RPC DCOM 취약점을 이용하여 공격을 시도함으로써 네트워크에 장애를 발생시키고 시스템을 비정상적으로 종료시켜 업무에 지장을 줍니다.
윈도우 시스템의 근복적인 취약점인 DCOM은 완벽하게 수정될 수 없기에 변형 웜이 계속해서 생성되고 있습니다.

📌 네트워크 공격형 웜

네트워크 공격형 웜은 특정 네트워크나 시스템에 대해 SYN 플러딩이나 스머프와 같은 DoS 공격을 수행합니다. 시스템 공격형 웜과 네트워크 공격형 웜은 버퍼 오버플로나 포맷 스트링과 같은 시스템 취약점을 이용하여 확산 및 공격하는 경우가 많습니다.
최근에는 시스템과 네트워크를 함께 공격하는 경우도 많이 발견됩니다.

네트워크 공격형 웜은 DDoS(분산 서비스 거부) 공격을 위한 봇 형태로 발전하고 있습니다.

네트워크 공격형 웜의 주요 증상

  • 네트워크가 마비되거나 급격히 느려진다.
  • 네트워크 장비가 비정상적으로 동작한다.

대표적인 네트워크 공격형 웜에는 클레즈가 있습니다. 시스템이 클레즈에 감염되면 해당 시스템 수가 적더라도 파급 효과는 매우 큽니다.
따라서 피해를 막기 위해서는 안정적인 네트워크 설계와 시스템 취약점에 대한 지속적인 패치 관리가 필요합니다.

ⓒ 정보보안개론

profile
이선아
깃허브 놀러오세용 -> Tistory로 블로그 이전합니다.
이전 포스트

바이러스 개념

다음 포스트

트로이 목마와 PUP

0개의 댓글