본문 바로가기
카테고리 없음

보안과 해킹에 관련된 바이러스 2

by 옥달이 2023. 5. 16.

보안과 해킹에 관련된 바이러스 2

2세대 암호형 바이러스의 제작자들은 백신의 진단을 우회하기 위해

자체적으로 코드를 암호화 하는 방법을 사용하였고, 백신 프로그램이

진단하기 힘들게 만들기 시작하였다. 순서는 바이러스 코드 >

복호화 알고리즘 > 암호화된 바이러스 코드 > 복호화 키 순으로 

진행이 되며 바이러스가 동작할 때 메모리에 올라오는 과정에서 

암호화가 해제 되어 백신 제작자들은 이를 이용하여 암호화 하는 

방법을 꺼꾸로 분석하였다. 2세대 암호형 바이러스는 바이러스 코드를

쉽게 파악하고 제거할 수 없도록 암호화한 바이러스이며 종류로는 

슬로우(Slow), 캐스케이드(Cascade), 원더러(Wanderer), 버글러

(Burglar)가 있다. 3세대 은폐형 바이러스는 확산되기 전에 바이러스가

활동하기 시작하면 다른 시스템으로 전파되기 힘들다는 단점을

보완하여 일정 기간 동안 잠복기를 가지도록 바이러스를 작성하였다.

최근에는 난독화(Obfuscation)기법을 적용하여 고급수준의 난독화,

바이너리 패킹 등을 선보이기도 하였다. 은폐형 바이러스에는 

브레인(Brain), 조시(Joshi), 512, 4096 바이러스 등이 있다.

4세대 다형성 바이러스는 백신 프로그램이 특정 식별자를 이용하여

바이러스를 진단하는 기능을 우회하기 위해 만들어진 바이러스로 

코드 조합을 다양하게 할 수 있는 조합 프로그램을 암호형 바이러스에

덧붙여 감염을 시켰고 실행될 때 마다 바이러스 코드 자체를 변경시켜

식별자가 구분하기 어렵게 하였다. 

5세데 바이러스인 매크로 바이러스는 엑셀 또는 워드와 같은 

문서 파일의 매크로 기능을 이용하였고, 매크로 바이러스가 포함된

워드나 액셀 파일을 열 때 감염이 되었다. 매크로 바이러스의 종류에는

워드 컨셉트(Word Concept), 엑셀-라룩스(Laloux) 바이러스,

와쭈(Wazzu), 멜리사 바이러스가 있다.  차세대 바이러스는 

매크로 바이러스에서 나타난 스크립트 형태의 바이러스가 더욱

활성화 하여 네트워크와 메일을 이용하여 전파 하였고, 단순히

데이터를 파괴하고 다른 파일을 감염시키는 형태에서 벗어나 사용자의

정보를 뺴내가거나 시스템을 장악하기 위한 백도어 기능을 가진 

웜의 형태로 진화하였다.

 

악성 소프트웨어의 유형으로는 바이러스, 웜, 트로이 목마, 혹스,

악성 자바 코드, 악서 ActiveX로 구분할 수 있다. 웜은 인터넷 또는

네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램으로

바이러스와 달리 스스로 전파되는 특성을 가지고 있다.

웜은 스스로를 증식하는 것이 목적이며 파일 자체에 이런 기능이

있거나 운영체제에 자신을 감염시킨다. 웜이 본격적으로 알려진것은 

윈도우 시대로 넘어오면서부터이다. 웜은 전파 형태에 따라 다음과

같이 분류하는데 MASS Mailer 형, 시스템 공격형, 네트워크 공격형이다.

MASS Mailer 형은 최근 몇 년간 발생한 웜 중 약 40%가 MASS Mailer

형에 해당하며 감염된 시스템이 많으면 SMTP 서버(TCP 25번 포트)의

네트워크 트래픽이 증가하며 베이클은 웜 파일을 실행할 때 

'Can't find a viewer associated with the file'과 같은 가짜 오류 

메시지를 출력한다. 넷스카이는 윈도우 시스템 디렉터리 밑에 

CSRSS.exe를 만들며 변형된 종류에 따라 시스템에 임의의 파일을

생성한다. 이는 확인되지 않는 메일을 열어볼 때 확산된다.

시스템 공격형 웜은 시스템 내부에 접속할 수 있도록 백도어를 

설치하는 웜으로 백도어(Backdoor)의 원래 의미는 운영체제나 

프로그램을 생성할 때 정상적인 인증 과정을 거치지 않고, 운영체제나

프로그램 등에 접근할 수 있도록 만든 일종의 통로이다.

시스템 공격형 웜의 주요 증상으로는 전파할 때 과다한 TCP/135,446

트래픽이 발생하며, windows, windows/system32, winnt, winnt/system32

폴더에 SVCHOST.EXE 등의 파일을 설치한다. 

그리고 공격 성공후 UDP/5599 등의 특정 포트를 열어 외부 시스템과

통신하며 시스템 파일을 삭제, 정보 유출(게임CD 시리얼 키 등)이 행해진다.

마지막으로 네트워크 공격형 웜의 주요 증상으로는 네트워크가 마비되거나,

급속도로 느려지며, 네트워크 장비가 비정상적으로 동작하는 증상이 있다.

네트워크 공격형 웜의 종류로는 져봇(Zerbo), 클레즈(Klez) 등이 있으며

이 유형의 웜은 적은 수의 시스템이 감염되어도 그 파급효과가 매우 크므로,

피해를 막기 위해서는 안정적인 네트워크의 설계와 시스템의 취약점에

대한 지속적인 패치 관리가 필요하다.

댓글

티스토리툴바