1 / 22

Part 2. 제 2 장 시스템에 대한 사이버 공격

Part 2. 제 2 장 시스템에 대한 사이버 공격. 악성코드 , 백도어. 121336252 이지웅. 목차. 1. 악성코드 1) 컴퓨터 바이러스 (1) 부트 바이러스 (2) 파일 바이러스 (3) 부트 · 파일 바이러스 (4) 매크로 바이러스 2) 웜 3) 트로이목마 2. 백도어 1) 로컬 백도어 2) 원격 백도어 ※ 참고문헌. 1. 악성코드.

perdy
Download Presentation

Part 2. 제 2 장 시스템에 대한 사이버 공격

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Part 2. 제2장시스템에대한 사이버 공격 악성코드, 백도어 • 121336252 • 이지웅

  2. 목차 1. 악성코드 1) 컴퓨터 바이러스 (1) 부트 바이러스 (2) 파일 바이러스 (3) 부트·파일 바이러스 (4) 매크로 바이러스 2) 웜 3) 트로이목마 2. 백도어 1) 로컬 백도어 2) 원격 백도어 ※참고문헌

  3. 1. 악성코드 • 악의적인 목적을 가지고 제작되어 컴퓨터에 악영향을 끼치는 모든 소프트웨어를 칭한다. • 사용자의 명령이나 승인 없이 설치되거나 실행되며 시스템의 성능 저하 또는 개인 정보 유출 등의 악의적인 행위를 수행한다. • 악성코드는 자기 복제 여부에 따라 바이러스성 악성코드와 비-바이러스성 악성코드로 나뉜다. - 바이러스성 악성코드 : 웜, 바이러스 - 비-바이러스성 악성코드 : 트로이 목마, 백도어 등

  4. 표 1.1 악성코드의 증상

  5. 표 1.2 누적 악성코드 수 추정치 출처 : 안철수 연구소

  6. 1) 컴퓨터 바이러스 • 컴퓨터 시스템에 침투하여 숙주 컴퓨터의 프로그램이나 파일을 변형시키고 자기 자신 또는 자신의 변형을 복사하여 또 다른 대상을 감염시킴으로써 컴퓨터 시스템과 파일을 파괴하는 프로그램이다. • 주로 전자메일, 매크로, 인터넷 웹 페이지, 그리고 USB 메모리 등을 통해서 전파되며 컴퓨터의 비정상적인 동작을 유발하고시스템의 성능 저하 등에 영향을 미친다. 정상적인 코드의 구조 Header Header Code Code Virus 바이러스의 감염된 코드의 구조

  7. (1) 부트 바이러스 • 부트 바이러스는 디스크의 첫 번째 섹터인 MBR(Mast Boot Record)에 위치한다. • MBR에 바이러스가 침투하면 매번 부팅할 때마다 바이러스를 실행시키기 때문에 정상적인 부팅과정을 방해하게 된다. • 이러한 바이러스는 90년대에 널리 퍼졌다가 32비트 프로세서가 표준으로 채택되고 플로피 디스크를 사용하지 않게 되면서 거의 자취를 감추었다. [부트 바이러스 감염경로]

  8. (2) 파일 바이러스 • 전체 바이러스의 90% 이상이 파일 바이러스이며 파일 확장자가 COM, EXE 등의 실행파일이나 DLL 등의 라이브러리 파일, SYS, INF 등의 시스템 정보 설정 파일을 감염시킨다. • 파일 바이러스의 종류에는 기생형, 겹쳐쓰기형, 산란형, 연결형으로 나눌 수 있으며 실행파일 실행 시 메모리 영역에 저장되어 실행 중인 다른 실행 파일에 자신을 복제한다.

  9. ① 기생형 바이러스 • 기생형 바이러스는 원래의 프로그램을 파괴하지 않고 프로그램의 앞이나 뒤에 바이러스 프로그램이 붙는다. • 기생형바이러스에 감염된 파일에는 원래의 프로그램과 바이러스 프로그램이 공존하기 때문에 길이가 증가하지만사용자는 바이러스 프로그램이 실행된 다음에 원래의 프로그램을 실행시키기 때문에 바이러스에 감염된 사실을 알지 못하는 경우가 많다. • 대표적인 바이러스는 Jerusalem, Dark_Avenger등이있다.

  10. ② 겹쳐쓰기형바이러스 • 겹쳐쓰기형바이러스는 원래의 프로그램이 있는 곳에 바이러스 프로그램이 겹쳐서 존재한다. • 일반적인 겹쳐쓰기형 바이러스는 파일의 앞부분에 위치하며 감염된 파일을 실행시키면 원래의 프로그램 대신 바이러스 프로그램이 실행되고원래의 프로그램이 파괴되었기 때문에 백신 프로그램으로도 복구할 수 없다. • 단, 겹쳐쓰기형 바이러스가 프로그램에서 사용하지 않는 영역을 찾아서 들어갈 경우에는 원래 프로그램의 수행에는 전혀 영향을 미치지 않게 되며 백신 프로그램으로 복구가 가능하다. • 겹쳐쓰기형 바이러스로는 Leprosy, Lehigh 바이러스 등이 있다.

  11. ③ 산란형바이러스 • 같은 이름의 COM 파일과 EXE 파일이 같은 디렉토리 안에 존재할 때 파일 이름을 입력하면 COM 파일이 먼저 실행되는 것을 이용해서 EXE 파일을 직접 감염시키지 않고 같은 이름의 COM 파일을 만들어서 바이러스 프로그램을 넣어둔다. • 대표적인 산란형 바이러스로는 AIDS II 바이러스가 있다.

  12. ④ 연결형 바이러스 • 연결형 바이러스는 프로그램을 직접 감염시키지 않고 디렉토리 영역에 저장된 프로그램의 시작 위치를 바이러스 프로그램의 시작 위치로 변경한다. • 따라서 프로그램을 실행하면 원래의 프로그램 대신 바이러스 프로그램이 먼저 실행되고실행이 끝나면 원래의 프로그램을 실행시켜서 사용자가 눈치채지 못하도록 한다. • 대표적인 예로는 DIRII 바이러스가 있다.

  13. (3) 부트·파일 바이러스 • 부트 섹터와 파일을 모두 감염시킨다. • 바이러스에 감염되면 대부분 파일 바이러스처럼 파일에 존재하다가 실행되어 시스템 부트 영역에 바이러스를 추가시킴으로써 다음 시스템이 부팅될 때 바이러스가 동작하도록 유도한다 • 대표적인 종류로는 Natas, Invader, Tequila 바이러스 등이 있다.

  14. (4) 매크로 바이러스 • 새로운 파일 바이러스의 일종으로, 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다. • 또한 응용 프로그램에서 사용하는 매크로 사용을 통해 감염되는 형태로 매크로를 사용하는 문서를 읽을 때 감염된다는 점이 이전 바이러스들과는 다르다. • 대표적인 예로 WM/CAP, WM/LLSTART, W97M/CLASS 바이러스가 있다.

  15. 2) 웜 • 프로그램 코드 자체를 스스로 복제할 수 있는 컴퓨터 프로그램이다. 자기복제가 가능하다는 점에서는 바이러스와 비슷하지만 바이러스가 다른 파일을 공격해서 거기에 기생하는데 비하여 웜은 파일과는 독립적으로 실행되며 다른 프로그램을 필요로 하지 않는다는 점에 다르다. • 또한 웜은 사용자와의 상호작용 없이 컴퓨터 시스템의 취약점을 공격하여 그 자체만으로도 네트워크를 통해 전파될 수 있다 • 컴퓨터 바이러스와 마찬가지로 컴퓨터 자체의 성능에도 영향을 미치지 만 네트워크를 손상시킬 수도 있다.

  16. Access Registry Internet Worm Document File Access Registry [웜의 동작과정] 1. 레지스트리 등록 2. 문서 파일 감염 4. 웜의 동작 3.웜의 초기제어

  17. 3) 트로이목마 • 그리스 신화의 트로이 전쟁에서 사용된 목마처럼 트로이 목마 프로그램은 겉보기에는 유용한 프로그램처럼 보이지만 실제로는 해킹 기능을 가진 악성 프로그램을 말한다. • 트로이 목마는 사용자 몰래 컴퓨터의 정보를 외부로 유출하거나 원격제어가 가능하도록 만든다. • 바이러스나 웜처럼 복사 기능은 없기 때문에 스스로 다른 파일이나 컴퓨 터를 감염시키지는 못하고 주로 사용자가 인터넷에서 다운로드한파일을 통해 전파되어 사용자가 실행시키도록 유도한다. • 사용자의 개인 정보 유출 등의 피해뿐 아니라 시스템 파일을 변경하거나 파괴할 수 있다. 심각한 경우 시스템이 마비되기도 한다. • 대표적인 트로이목마 프로그램으로는 Setiri, Hydan등이 있다.

  18. 2. 백도어 • 백도어는원래 시스템의 유지 보수나 유사시의 문제 해결을 위하여 시스템 관리자가 보안설정을 우회하여 시스템에 접근할 수 있도록 만든 도구이다. • 최근에는 악의적인 목적을 갖는 공격자들이 시스템에 재침입이용이하도록 이용하는 도구를 의미한다. 백도어 프로그램은 비(非)인가된 접근을 허용하는 프로그램으로 공격자가 이후 사용자 인증 과정 등 정상적인 절차를 거치지 않고 프로그램이나 시스템에 접근할 수 있도록 지원한다. • 공격자는 시스템에 침입한 이후 재접속을 위해 백도어를 설치하기도 하지만, 프로그래머가 관리 목적으로 만들었다가 제거하지 않은 백도어를 찾아 악용하기도 한다. • 백도어는 특정 포트를 오픈하여 공격자가 침입할 수 있도록 백그라운드로 실행되며 트로이목마 같은 악성코드를 통해 감염될 수 있다.

  19. 1) 로컬 백도어 • 로컬 백도어는 서버의 셸을 얻어낸 뒤에 관리자로 권한 상승(Privilege Escalation)을 할 때 사용하는 백도어다. 트랩도어 역시 로컬 백도어라고 생각 할 수 있다. 시스템에 로그인한 뒤에 관리자로 권한을 상승시키기 위한 백도어이므로로컬 백도어를 이용하기 위해서 공격자는 일반 계정이 하나 필요하다.

  20. 2) 원격 백도어 • 원격에서 관리자로 계정과 패스워드를 입력하고 로그인한 것처럼 바로 시스템의 관리자 계정을 할 수 있는 백도어다. • 원격백도어의 원리 : 유닉스 및 리눅스 시스템에서 프로그램은 사용자와 마찬가지로 권한을 가지고 있으며 프로그램이 실행될 때 해당 권한 수준에서 동작하게 된다. 공격자가 공격에 성공한 시스템에 관리자 권한으로 원격 백도어를 실행시켜 놓으면 이후 데몬처럼 동작하는 백도어를 통해 자연스럽게 관리자 권한으로 시스템을 작동할 수 있다.

  21. ※ 참고문헌 • 사이버 공격과 보안기술 – 정태명 외- • 한국인터넷 진흥원 : 악성코드 유사 및 변종 유형 예측방법 연구

  22. 감사합니다.

More Related