(1) 악성코드에 대한 이해
o 바이러스: 이론적인 정의로는 자신 또는 자신의 변형을 컴퓨터 프로그램이나 매크로, 스크립트 등 실행 가능한 부분에 복제하는 명령어들의 조합으로 정의되며, 실제적으로는 사용자 몰래 다른 곳에 자기 자신을 복제하는 프로그램, 악성 프로그램으로 통합되는 추세에 있다.
| 구분 | 설명 |
| 부트 바이러스 | - 부트 영역에 감염되는 바이러스(플로피 디스크 / 하드 디스크) 감염 후 윈도우 환경에서는 치료가 어려우므로 도스 부팅 후 치료 필요 . Brain 바이러스, Michelangelo 바이러스, Monkey 바이러스, Anti-CMOS 바이러스, WYX 바이러스 등 |
| 파일 바이러스 | - 일반적으로 실행 가능한 프로그램 파일에 감염되는 바이러스이며, 윈도우에서는 다양한 형태의 실행 파일 존재, 다양한 형태의 파일에 감염 . 도스용 파일 바이러스, 윈도우용 파일 바이러스, 매크로 바이러스 |
| 부트/파일 바이러스 |
- 부트 영역 및 파일에 모두 감염되는 바이러스 . 나타스 바이러스, 침입자 바이러스, 테킬라 바이러스 등 소수 |
| 매크로 바이러스 | - 응용 프로그램에서 지원하는 매크로 기능을 이용해서 자신을 복제하는 능력을 가진 바이러스 |
(2) 안티바이러스 주요 공통 기능
- 업데이트 주기를 설정하여 자동업데이트 기능
- 바이러스 검사 주기를 설정하여 자동 검사 기능
- 실시간 감지기능의 설정 및 해제 기능
o 트로이목마: 백도어 종류도 트로이목마의 한 종류이며 트로이목마 프로그램은 바이러스와 달리 자기 복제 능력이 없으며 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다. 트로이목마가 설치되면 특정한 환경이나 조건 혹은 배포자의 의도에 따라 사용자의 정보 유출이나 자료파괴 같은 피해를 입을 수 있다.
- 기능: 원격조정, 패스워드 가로채기, 키보드입력 가로채기, 시스템 파일 파괴 등
- 대표적인 종류 - Netbus, Back Orifice 등
o 그밖의 악성 코드 유형
| 구분 | 설명 |
| 메일폭탄 (Mail bomb) |
- 특정 사람에게 한꺼번에 많은 양의 메일을 전송하여 상대방에게 피해를 줄 목적으로 특정한 사람이나 특정한 시스템을 대상으로 수천, 수만 통의 전자 우편을 일시에 보내거나, 대용량의 전자우편을 지속적으로 보내 결국 해당 사이트의 서비스를 방해하는 기술이다. - 주로 상대방의 메일 용량을 초과시켜 많은 피해를 줌. |
| Anonymail | - 익명으로 메일을 보낼 수 있는 프로그램이다. 일반적으로 메일을 작성해서 전송하면 자신의 메일 주소도 같이 전송되지만, anonymail 프로그램은 자신의 메일 주소를 임의로 작성해서 보낼 수 있도록 제공한다. - 대표적인 종류 - QuickFyre, Avalanche, eremove 등 |
| Joke | - 사용자에게 데이터 파괴 등의 구체적인 피해를 입히는 것은 아니지만 바이러스와 유사한 증상으로 사용자들이 놀라게 하는 각종 프로그램 - 대표적인 종류 - Delete_Game, Format_Game, Cokegift, Puzzle 등 |
| Hoax/Myth | - 컴퓨터 바이러스로 잘못 알려진 일종의 스팸(Spam) 메일 부작용 : 보안 의식 저하 -> 양치기 소년 효과 - 대표적인 종류 - GoodTimes virus, Join the crew, Sulfnbk.exe 등 |
| 인터넷웜 | - 네트워크/전자메일을 통해 자신을 복제하는 악성 프로그램으로 인터넷 웜(Internet Worm)이라고도 함. - 전파방법 : 전자메일 첨부파일, 정상적인 전자메일 첨부파일, 네트워크 쓰기 권한 악용, 서비스의 취약점 이용 - 대표적인 종류 - I-Worm/Happy99, I-Worm/Hybris, I-Worm/Naked, I-Worm/Navidad, I-Worm/ExploreZip, I-Worm/Wininit, sql 슬래머 등 |
| 악성 스크립트 | - 스크립트 기능을 이용해 제작한 악성 프로그램 - 대표적인 종류 - mIRC 스크립트, VBS(Visual Basic Script), JS(Java Script) |
| 스파이웨어(Spyware) | - 개인 정보 일부를 해당 SW 개발자가 알 수 있도록 제작/명시한 정상적인 프로그램 |
(3) 트로이목마 개요
| 구분 | 설명 |
| 원격 조정 | - 원격 조정은 해커가 트로이목마에 감염된 시스템을 통해서 악의적인 행위를 할 수 있다. 해커는 감염된 시스템의 파일, 데이터 등 시스템에 관한 모든 것을 완벽하게 조정할 수 있다. |
| 패스워드 가로채기 |
- 트로이목마에 감염된 시스템에 존재하는 캐시된 패스워드를 찾아내는 것이다. 주로 메신저, 인터넷에 존재하는 웹사이트, 기타 응용 프로그램 사용시에 요구되는 사용자 계정과 패스워드를 사용자 모르게 공격자의 이메일 주소로 전송한다. |
| 키보드 입력 가로채기 |
- 시스템에서 사용자가 입력하는 키보드 입력을 임의의 로그파일에 복사한 후 해커가 설정해 놓은 특정한 이메일 주소로 전송하거나 실시간으로 전송한다. |
| 시스템 파일 파괴 형태 |
- 감염된 시스템에 있는 파일이나 데이터들을 삭제하는 기능을 가지고 있다. |
o 주요 트로이목마 사례
| 구분 | 설명 |
| Netbus 2.0 | - Netbus 2.0 트로이목마는 레지스트리에 자동실행 설정을 하므로 레지스트리 편집기에서 찾기 기능으로 다음과 같은 레지스트리를 검색하여 탐지가 가능하다. - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\NetBus Server |
| NTRootkit | - 레지스트리 자동실행 등록 |
| BAGLE | - 레지스트리 자동실행 등록 |
o 트로이목마 탐지 방법
- 안티바이러스 프로그램에 의한 탐지
- 레지스트리를 검사하여 자동실행 설정된 내용 검사
- 사용자의 컴퓨터에서 사용하지 않는 포트가 열려 있는지 검사
- 사용자의 컴퓨터에 설치하지 않은 프로그램이나 파일이 설치되었는지 검사
o 트로이목마 사례
| 구분 | 설명 |
| NetBus | - file manager, registry manager, Application Redirect, 화면 캡쳐, 키보드입력정보 보기 등의 기능 - 서버프로그램의 접속패스워드 설정 기능 - 서버프로그램의 포트변경 기능 |
| Back Orifice | - 백오리피스는 CDC라는 해킹그룹에서 만든 해킹도구로 파일시스템의 모든 파일에 대한 접근, 프로세스 생성/삭제, 시스템 패스워드 유출, 키보드 모니터링, 네트워크 자원의 공유지정, 파일조작, 레지스트리조작 등의 기능 - 서버프로그램의 접속패스워드 설정 기능 |
| School Bus | - 패스워드 유출, 캐쉬영역의 패스워드 추출, 파일관리, 키보드 입력 모니터링 등의 기능 - 서버프로그램의 접속패스워드 설정 기능 |
| ackcmd | - 윈도우 2000을 위한 특수한 원격 명령 프롬프트. TCP ACK 세그먼트만 사용해서 통신을 하므로 어떤 경우 방화벽을 통과하는 연결이 가능하다. - 즉, netstat -an 명령어로 연결세션정보를 얻기 어렵다. |
o 루트킷 - 루트킷의 목적은 자신과 다른 소프트웨어를 보이지 않게 숨기고 사용자가 공격자의 소프트웨어를 인지하고 제거할 가능성을 피하는 것이다.
| 구분 | 설명 |
| 루트킷 기능 | . 트래픽이나 키스트로크를 감시 . 시스템에 트로이목마 프로그램 설치 . 로그파일 수정 . 프로세스나 파일 숨김 기능 . 자동실행 설정 |
| 루트킷 종류 | . 윈도우용 : FU-Rootkit, Hxdef100, NTRootkit 등등 . 리눅스용 : Suckit, lrk4, lrk5, adore 등 |
| 루트킷 탐지 | . 안티바이러스 프로그램이나 전용도구를 이용하여 탐지 및 제거 . 안티바이러스 프로그램에 의한 탐지 . 일반적인 행동 기반의 루트킷 감지 소프트웨어 : Rootkit Revealer 등 |
크래킹소프트웨어
(1) 크래킹 개요 - 크래킹은 해킹과 비교하여 악의적인 목적을 가지고 시스템에 침입하는 행위를 말하며, 다른 의미로 쉐어웨어 프로그램을 정식버젼으로 변환하는 행위를 의미하기도 한다.
(2) 크래킹 S/W 사례별 이해 - WWWhack - 웹서버의 로그인 ID와 패스워드, 접속계정의 ID와 패스워드, FTP의 ID와 패스워드 그리고 POP의 ID와 패스워드를 크랙하는 도구
- Golden Eye, Webcrack 등
(3) 누킹(nuking) S/W : Vconnect, Cgsioob 등 - 레지스트리, 키 파일, 파일 시스템 등을 훼손하여 시스템을 사용 불능상태로 빠뜨리는 프로그램으로 ‘blue bomb' 혹은 'WinNuke'이라고도 알려져 있다.
키로그소프트웨어
(1) 키로그 개요 - 설치된 컴퓨터에서 키보드로 입력한 정보를 로그로 남기는 프로그램이며, 기능이 업데이트된 키로그 프로그램은 키보드 입력 뿐만 아니라 윈도우를 이용한 프로그램 사용, 인터넷 익스플로러를 이용한 인터넷접속 정보 등도 로그로 남기며, 로그파일을 실시간으로 공격자에게 전송하거나, 설정된 메일 및 메신저로 지정된 시간에 로그파일을 자동 전송하는 기능도 있다.
o 키로그 프로그램 탐지 방법
- 안티바이러스 프로그램에 의한 탐지
- 키로그 전용탐지도구에 의한 탐지
- 특정 문자열을 타이핑한 후 파일의 내용에서 타이핑한 문자열 검색
(2) 키로그 사례
o Keylog25 -설치된 컴퓨터에서 자판을 입력한 정보를 파일에 로그로 남김.
o SK-Keylog - 키보드 입력을 로그로 남김, 지정된 시간에 로그파일을 설정된 공격자 메일로 자동 전송 기능 포함
(1) Outlook 및 Outlook Express 보안
o Outlook 주요 공격 기술 이해 - 공격자에 의해 운영되는 뉴스그룹을 사용자가 방문했을 때 Outlook Express 이메일 프로그램에 설치되어 사용자 컴퓨터를 컨트롤 할 수 있는 공격기술
- 공격자가 악성스크립트를 메일에 첨부하여 보내면 수신자가 메일을 확인하거나 읽는 순간 악성스크립트에 의해 공격당할 수 있음.
o 메일 필터링 기법 - 도구-메시지 규칙 기능을 이용하여 메일, 뉴스, 차단할 보낸사람목록의 기능을 이용하여 제목, 내용, 첨부파일 등에 대한 메시지 규칙을 설정하여 메일 필터링이 가능하고 메일주소 또는 도메인으로 메일을 차단 가능
o 첨부 파일 보안 - 메일의 첨부파일을 이용한 웜 및 악성스크립트를 이용한 공격이 가능하므로 송신자 메일주소 및 메일제목을 확인하여 불필요한 메일을 삭제하는 것이 우선
(2) 웹기반 메일 서비스 보안
o 웹기반 메일 서비스의 보안 취약성 이해
- XSS 공격 개념 및 대처방법
- 계정 크랙 공격 개념
- 클라이언트 측에서 동작하는 스크립트 공격
- 스니핑 도구에 의한 전송되는 정보 유출(ID/패스워드 및 메일내용 등)
o 코드 기반 공격
- 악성코드를 전파 및 공격대상에 설치하기 위해서 웹메일을 이용하는 사례가 증가하고 있다. 인터넷익스플로우를 이용하여 웹메일 사용 시에 메일을 읽거나 메일보기를 선택하는 경우 사용자 컴퓨터에 악성코드가 실행되면서 다양한 공격이 가능하게 된다.
- 공격의 유형
. Active X를 이용한 공격
. 자바스크립트를 이용한 공격
. 해킹프로그램 설치 및 레지스트리에 자동실행 설정
. 인터넷익스플로우 초기화면 변경
. 특정 사이트 팝업창 지속적인 디스플레이
'정보보호관리체계(ISMS-P) > 실무 Q&A' 카테고리의 다른 글
| ISMS-P 인증심사원 - 보안시스템 실무 (0) | 2022.06.10 |
|---|---|
| ISMS-P 인증심사원 - 보안시스템 이론 (0) | 2022.06.10 |
| ISMS-P 인증심사원 - 윈도우 보안 (0) | 2022.06.10 |
| ISMS-P 인증심사원 - 유닉스/리눅스 보안(2) (0) | 2022.06.10 |
| ISMS-P 인증심사원 - 유닉스/리눅스 보안(1) (0) | 2022.06.10 |