IT

[IT]악성 소프트웨어 - Malware 란?

Admimistrator 2024. 8. 26. 17:00
728x90
반응형
반응형

Malware (Malicious Software) :

  • **‘악성 소프트웨어’**의 약자로, 컴퓨너타 네트워크 시스템에 해를 끼치기 위해 설계된 소프트웨어를 의미합니다. 주로 기밀 정보 탈취, 시스템 손상, 불법적 접근 등의 목적을 가지고 있습니다. 오늘은 악성 소프트웨어의 종류와 특징에 대해 설명하고자 합니다.

1. Virus

 - 특징

  • 바이러스는 자신을 정상적인 프로그램이나 파일에 삽입하여 함께 실행 되도록 설계된 악성 코드로써, 사용자가 감염된 파일을 실행할 때 바이러스가 활성화되고, 그 후에는 다른 프로그램이나 파일에 자신을 복제하여 확산하는 방식으로 바이러스가 발견 되도 다른 프로그램에 감염되어 있을 수 있기 때문에 모든 프로그램을 검사해 봐야 합니다.

 - 감염대상

  • 부트 바이러스
  • 파일 바이러스(기생형, 겹쳐쓰기형, 산란형, 연결형)

 - 발전 단계에 따른 구분

  • 1세대 원시형 바이러스 : 파일 감염을 목표로 하며 프로그램 파일에 삽입되어 해당 프로그램이 실행 될 때 활성화 (CIH(체르노빌 바이러스), ILOVEYOU바이러스)
  • 2세대 암호화 바이러스 : 바이러스 코드가 암호화 되어 있어 탐지하기가 어려우며 바이러스가 실행될 때, 암호화된 코드를 복호화하여 활성화 (Storm Worm)
  • 3세대 은폐형 바이러스 : 은폐 기술을 사용하여 자신이 감염된 시스템에서 탐지되지 않도록 설꼐되어 파일, 디렉토리, 프로세스, 시스템 호출 등을 조작하여 은폐 (CIH(체르노빌 바이러스))
  • 4세대 갑옷형 바이러스 : 다양한 방어 기술을 사용하여 바이러스의 코드와 동작을 분석하기 어렵게 만드는 코드 (Storm Worm)
  • 5세대 매크로 바이러스 : MS Office 와 같은 문서에 삽입된 코드를 통해 전파 (Melissa, Concept 바이러스)
  • 6세대 플리모픽 바이러스 : 자기 변형 기술을 사용하여 감염된 파일에 대해 지속적으로 변형된 코드를 생성 (Storm Worm)
  • 7세대 메타포빅 바이러스 코드 변환을 통해 완전히 새로운 코드 형태를 생성하여 실행될 때마다 완전히 다른 코드 구조로 변형되어 탐지 회피 (Simda)
  • 8세대 파일리스 악성코드 디스크에 저장되지 않고 메모리에서만 실행되어 시스템의 메모리, 레지스트리, 프로세스 또는 스크립트 엔진을 이용해 실행되어 디스크 흔적이 없어 탐지에 어려움(PowerShell 기반 공격, Macro-based attacks)
  • 9세대 랜섬웨어 데이터 암호화 외에도 악성코드 배포, 데이터 유출, 공격적인 협박 기법을 포함하는 현대적인 형태 (Conti, LockBit, REvil)
  • 10세대 스크립트 기반 악성코드 웹 스크립트 언어(Java script, VBScript)나 웹 애플리케이선의 취약점을 이용하여 악성코드를 실행 (Malicious JavaScipt, Browser Exploit Kits)

2. Worm

 - 특징

  • 웜은 스스로를 복제하여 네트워크를 통해 확산되는 malware 입니다. 바이러스와 달리 웜은 다른 프로그램에 삽입되지 않고, 자체적으로 실행되며 네트워크 연결이 되어 있는 다른 컴퓨터에 자동으로 전파되며, 사용자 개입 없이도 빠르게 확산 됩니다.

 - 피해

  • 네트워크 혼잡 : 대량의 복제된 웜이 네트워크를 통해 확산되면, 네트워크 성능이 저하되어 정상적인 작업 불가
  • 시스템 자원 소모 : 시스템의 CPU, 메모리, 저장 공간 등을 소모하여 시스템 성능 저하와 함께 자원 고갈을 초래
  • 정보 유출 : 시스템의 중요한 정보를 수집하거나, 사용자 데이터를 유출하는 기능을 포함 할 수 있음
  • 후속 공격 : 시스템에 백도어(Backdoor)를 설치하거나, 추가적인 악성 소프트웨어를 다운로드하여 설치 할 수 있음

3. Trojan Horse

출처 : KBS

 

 - 특징

  • 위장 : 트로이 목마의 유례처럼 유용한 프로그램처럼 보이지만, 백그라운드에서 악성 코드를 실행하는 소프트웨어입니다. 사용자에게 신뢰를 얻은 후 , 시스템에 악영향을 미치는 작업을 수행합니다.
  • 악성행위 : 트로이 목마는 사용자가 의도하지 않은 악성 작업을 수행 할 수 있습니다. (백도어를 설치하여 원격제어 등)
  • 비가시성 : 일반적으로 사용자가 의심하지 않도록 설계되며, 악성 행위가 백그라운드에서 실행되므로 탐지하기 어려울 수 있습니다.

 - 동작 방식

  • 유입 : 이메일 첨부파일, 웹사이트, 다운로드 링크, 소셜 미디어 등을 통해 유입될 수 있으며, 사용자가 이를 다운로드 하거나 클릭하여 설치하면 악성코드가 실행
  • 설치 : 시스템에 추가적인 악성 코드를 설치하거나, 백도어를 생성하여 공격자가 원격으로 시스템을 제어
  • 악성행위 : 비밀번호, 금융 정보, 개인 데이터 등을 수집하거나, 시스템 설정을 변경하여 추가적인 공격을 수행

 - 유형

  • 백도어 트로이 목마 : 시스템에 접근할 수 있는 비밀 경로를 생성하여 공격자가 원격으로 시스템 제어
  • 키로거 트로이 목마 : 사용자가 입력하는 모든 키스트로크를 기록하여 민감한 정보 탈취
  • 데이터 탈취 트로이 목마 : 사용자 데이터를 수집하여 외부 서버로 전송 (로그인 정보 및 금융 정보 등)
  • 다크 웹 트로이 목마 : 다크 웹에서 불법적인 활동을 수행하거나, 해커에게 정보를 제공하는 도구로 사용

4. Ransomware

출처 : tvN

 -  특징

  • 드라마 스타트업(2020) 으로 유명?해진 Malware 중 하나로 사용자의 파일을 암호화하거나 시스템을 잠그고 이를 해제하기 위해 금전을 요구하는 형태의 공격입니다. 일반적으로 사용자의 데이터를 인질로 잡고 금전적 이득을 취하려고 하는데, 암호화된 파일의 복호화 키를 제공하거나 시스템 접근을 복구하기 위해 금전을 요구합니다.

 - 동작방식

  • 감염 : 랜섬웨어는 이메일 첨부파일, 악성 링크, 취약점 공격, 다운로드한 소프트웨어 등을 통해 감염됩니다. 사용자가 감염된 이메일을 열거나 악성 링크를 클릭할 때 실행됩니다.
  • 암호화 : 감염된 시스템에 접근한 랜섬웨어는 사용자의 중요한 파일을 암호화합니다. 암호화된 파일은 특정 키 없이는 복호화가 불가능하여, 사용자는 데이터를 사용할 수 없게 됩니다.
  • 금전 요구 : 암호화가 완료되면, 랜섬웨어는 사용자에게 금전을 요구하는 메시지를 표시합니다. 이 메시지에는 일반적으로 암호 해제를 위한 방법과 지불 방법이 포함됩니다.

출처:나무위키

 - 전파 경로

  • 이메일 첨부파일 : 감염된 이메일 첨부파일을 열면 랜섬웨어가 실행
  • 악성 링크 : 피싱 이메일이나 웹사이트의 악성 링크를 클릭하면 랜섬웨어가 다운로드
  • 소프트웨어 취약점 : 시스템이나 소프트웨어의 취약점을 악용하여 랜섬웨어가 침투 . 드라마 스타트업에서는 SSH 22 port를 통해 유입된 것으로 추정하였으며 실제로 ssh 포트를 <any>로 하여 모든 접근이 가능하도록 하여 실제로 랜섬웨어에 감염된 사례가 있습니다.
  • 악성 광고 : 악성 광고를 통해 랜섬웨어를 다운로드하거나 자동으로 실행

 - 대응

  • 감염 확인 : 랜섬웨어에 감염된 경우, 즉시 감염 범위를 확인하고, 네트워크를 분리하여 확산을 방지
  • 전문가 도움 : 랜섬웨어 공격에 대응하기 위해 보안 전문가나 사이버 범죄 수사 기관에 도움을 요청
  • 복호화 도구 : 공격자가 제공한 복호화 키를 사용하여 파일을 복원하거나, 데이터 복구 전문 업체를 통해 도움 요청 드라마에서는 극적인 상황 연출을 위해 랜섬웨어의 복호화키를 찾아 복구하였으나, 실제로 랜섬웨어는 파훼하기 쉽지 않은 공격입니다. 하지만 공격자에게 금전을 제공한다고 하여도 데이터를 전부 복구할 수 있을거라는 보장을 할 수 없으니 보안 예방 조치를 항상 철저히 하고 전문가의 도움을 받는것을 권장합니다.

 

이 외에도 많은 악성소프트웨어들이 있으나, 대표적인 예시로 글을 썼습니다.

예방과 대응을 위한 대표 사이트 첨부하니 혹시 자신의 PC에서 이름 모를 프로그램이 설치되어 있다면 확인해도 좋을 것 같습니다.

1. VirusTotal : https://www.virustotal.com/gui/home/search

 

VirusTotal

 

www.virustotal.com

2. Threat zero Zero : https://www.zerocert.org/

 

ZeroCERT Team

Threat zero ZeroCERT

www.zerocert.org

웹 사이트 Url 및 파일을 검사해주는 곳입니다.

그 외에도 https://malzero.xyz/

 

Malware Zero - 무료 악성코드 제거 도구

악성코드 및 애드웨어 등 각종 유해 프로그램에 의한 고통에서 해방되기 위해 설치 없이 사용 가능한 무료 악성코드 제거 도구

malzero.xyz

내 PC에 어떤 프로그램이 Malware인지 모를경우 악성코드 제거 할 수 있는 malzero가 있습니다.

 

악성 소프트웨어를 미리미리 예방하여 개인 자산 및 정보를 안전하게 보호하시기 바라겠습니다.

728x90
반응형