1차시 악성코드와 바이러스
악성코드
악의적 목적으로 만들어진 모든 프로그램(프로그램, 매크로, 스크립트 등)
복제
자신과 동일한 프로그램을 복사하는 것
웜
인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 자기복제를 통해 전파되는 프로그램
트로이목마
트로이 전쟁에서 사용된 목마처럼 겉보기엔 유용한 프로그램처럼 보이지만 실제로는 해킹 기능을 가진 악성 프로그램
루트킷
컴퓨터의 관리자 권한을 유지하고 자신의 존재를 운영체제 또는 다른 프로그램으로부터 숨기는 역할을 수행하는 프로그램
악성코드 또는 맬웨어(malware)의 정의
- 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭으로 악성 소프트웨어(Malicious Software)의 준말
- 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 스크립트 등 컴퓨터 상에서 작동하는 모든 실행 가능한 형태
분류
바이러스(Virus), 웜(Wrom), 트로이목마(Trojan Hores) , 백도어(BackDoor), 스파이웨어/애드웨어(Spyware/Adware), 악성 봇(Malicious Bot), 루트킷(RootKit), 크라임웨어(Crimeware) 등
세대별 분류 - 제 1세대 : 원시형(Primitive) 바이러스
- 제 2세대 : 암호화(Encryption) 바이러스
- 제 3세대 : 은폐형(Stealth) 바이러스
- 제 4세대 : 갑옷형(Armour) 바이러스
- 제 5세대 : 매크로(Macro) 바이러스
2차시 웜과 기타 악성코드
서비스 거부(DoS) 공격
시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격
Syn Flooding
DoS의 일종. TCP의 취약점 이용한 공격의 형태로, TCP는 3 Way handshaking 규칙으로 통신 수행하는데 이때 SYN 만 수행하고 SYN+ACK 응답을 보내지 않아 ‘Half open’상태로 만들어 백로그 큐(Backlog Queue)를 증가시켜 특정 포트의 서비스를 거부 상태로 만드는 공격
Smurf
네트워크 수준에서 어떤 호스트의 서비스를 방해하는 서비스 거부 공격 방법으로 공격자는 ICMP 에코 요청을 공격 대상의 IP 주소로 위장하여 특정 IP 브로드캐스트 주소로 보내고 이 주소로 ICMP 에코 패킷을 보내는 공격 으로 ICMP 릴레이 패킷 증가로 시스템 부하 증가
1999년 다른 사람의 이메일 주소를 수집하고 스스로 전달되는 형태의 인터넷 웜이 출현하면서 일반인에게 웜이라는 용어가 알려지기 시작하였다.
웜 기능 및 특징
- 전자 메일 장비(Electronic mail facility)
- 원격 실행 기능(Remote execution capability)
- 원격 로그인 기능(Remote login capability)
- 네트워크 웜은 컴퓨터 바이러스 같은 특징 : 잠복 국면, 전파 상태, 유발 상태 , 실행 상태
3차시 악성코드 탐지 및 대응
포트번호
인터넷이나 기타 다른 네트웍 메시지가 서버에 도착하였을 때, 전달되어야할 특정 프로세스를 인식하기 위한 방법
프로세스
현재 실행중인 프로그램으로 주기억 장치에 상주해 있으며, 현재 프로세스들은 작업관리자를 통해 확인할 수 있음
레지스트리
시스템 하드웨어, 설치된 프로그램 및 설정, 컴퓨터에 있는 각 사용자 계정의 프로필 등에 대한 중요한 정보가 포함된 Windows의 데이터베이스
백도어의 기능
- 파일 숨기기
- 프로세스 숨기기
- 네트워크 커넥션 숨기기
- 원격 명령 실행가능
- 관리자 권한 획득
- 사용자 정보 유출
백도어의 종류 - 로컬 백도어
- 원격 백도어
- 원격 GUI 백도어
- 패스워드 크래킹 백도어
- 시스템 설정 변경 백도어
- 트로이 목마 형태의 프로그램
- 거짓 업그래이드
- 기타
