악성코드, 백도어 121336252 이지웅. 1. 악성코드 1) 컴퓨터 바이러스 (1) 부트 바이러스 (2) 파일 바이러스 (3) 부트 · 파일 바이러스 (4) 매크로 바이러스 2) 웜 3) 트로이목마 2. 백도어 1) 로컬 백도어 2) 원격 백도어 ※ 참고문헌.

Slides:



Advertisements
Similar presentations
최근 사이버침해 유형 및 대응방안 정보기반과. 목차  1. 최근 사이버테러 동향 최근 정보보호 동향 최근 정보보호 동향 최근 침해사고동향 최근 침해사고동향 최근 사이버테러 공격의 특징 최근 사이버테러 공격의 특징  2. 사이버 테러 공격 단계 및 유형  3. 사이버.
Advertisements

바이러스 제작 및 유포. 컴퓨터 프로그램을 변형하여, 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어들의 조합 pc 의 다운, 파일 삭제 등 컴퓨터의 운영을 방해하는 악성 프로그램 컴퓨터 바이러스는 자기 복제 능력을 가지고 있으며, 파일에 손상을 주 거나 하드디스크의.
10611 류소준 송상민 장윤석 정대영. * Malware? * Index  악성코드 / 바이러스 란 ?  악성코드의 종류 (brief)  악성코드의 유입경로 (specific)  중국발 바이러스 & 악성코드  대처방법과 백신.
프로그램이란 프로그램 생성 과정 프로젝트 생성 프로그램 실행 컴퓨터를 사용하는 이유는 무엇인가 ? – 주어진 문제를 쉽고, 빠르게 해결하기 위해서 사용한다. 컴퓨터를 사용한다는 것은 ? – 컴퓨터에 설치 혹은 저장된 프로그램을 사용하는 것이다. 문제를 해결하기 위한.
Big Data & Hadoop. 1. Data Type by Sectors Expected Value using Big Data.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
강 사 : 박영민. 워드프로세서 필기 3  디스크 관련 메뉴  디스크 포맷 디스크의 트랙 (Track) 과 섹터 (Sector) 를 초기화하는 작업을 말한다. [ 파일 ] 메뉴의 포맷을 선택하거나 바로 가기 메뉴의 포맷을 선택하여 실행 운영체제가 설치되어 실행중인.
엑셀리포트를 이용한 날짜별 리포트 자동 저장 방법
Windows Function Windows XP Windows 7 Windows 8 FREE 조장 : 김동환 조원 : 전태우
컴퓨터와 인터넷.
컴퓨터 운영체제의 역사 손용범.

정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
스마트워크(가상화) 외부 접속 방법 정보관리실.
뇌를 자극하는 Windows Server 2012 R2
소리가 작으면 이어폰 사용 권장!.
1. 신뢰할 수 있는 싸이트 등록 인터넷 익스플로러 실행 후 실행
Chapter 6. 리눅스 백도어 황 선 환.
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
SSL - VPN 사용자 가이드 - IT 지원실 네트워크 운영팀 -.
MYSQL 설치.
Linux/UNIX Programming
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Windows Server 장. 사고를 대비한 데이터 백업.
ANSYS17.2 Student 제품 무료 다운로드
Windows 8 Ksystem G&I 설치.
한국골프대학 종합정보시스템 Windows Vista 사용자를 위한 Component 설치안내서
한국골프대학 종합정보시스템 Windows 7 사용자를 위한 Component 설치안내서
강 명 수 LINUX 설치 강 명 수
CHAPTER 02 OpenCV 개요 PART 01 영상 처리 개요 및 OpenCV 소개.
8장. 원격지 시스템 관리하기.
정보화 사회와 컴퓨터 보안.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
부트로더와 Self Programming
Cross Compiler 설치.
CHAP 12. 리소스와 보안.
3장. CentOS 리눅스 설치.
P2P시스템에 대해서 (peer to peer)
10강. JSP 본격적으로 살펴보기-II 스크립트릿, 선언, 표현식 지시자 주석 Lecturer Kim Myoung-Ho
IPAD2(ios 5.0.1) 사용자 메뉴얼 Mobile Service Team.
시스템 인터페이스 Lab3 Unix 사용법 실습.
㈜시스원이 제공하는 시스템 관리 통합 솔루션 SysmanagerOne Agent설치 안내서
설치 환경 □ 운영체제 버전 : CentOS Linux 7.2 □ 리눅스 커널 버전 :
뇌를 자극하는 Windows Server 2012 R2
LIT-GenAppSetup ※ Texting+ 클라이언트 프로그램은 제품 인증을 받은 제품입니다.
2 보안 1 도구 윈도우 XP > 온밀크 프로그램 설치 장애 (보안 설정) / 품목추가 깨질 때 장애증상
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
Linux/UNIX Programming
Day-27(Tue_10.16) 파일 서비스 설정 AD 가 설치된 환경에서 DHCP 설치 할 경우 권한 자격을 주어야함.
Nessus 4 설치 정보보호응용 조용준.
PMIS 서버 설정 환경설정 작성자 : 배경환.
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
( Windows Service Application Debugging )
STS 에서 웹 서버 설치 방법.
OpenCV 설정 2.21 만든이 딩딩.
뇌를 자극하는 Solaris bible.
DK-128 개발환경 설정 아이티즌 기술연구소
WZC 무선 연결 방법 (Windows 7 Ver.).
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
시스템 인터페이스 Lab1 X-window 및 명령어 사용.
1. 인터넷 보안 옵션 레지스트리 등록 Config Setup 클릭.
발표자 : 이지연 Programming Systems Lab.
슬라이드 쇼의 설정 슬라이드 쇼의 실행 파일과 폴더의 관리 글꼴을 포함해서 저장 웹 페이지로 게시 압축 파일
Installation Guide.
1장 C 언어의 개요 C 언어의 역사와 기원 C 언어의 특징 프로그램 과정 C 프로그램 구조 C 프로그램 예제.
FTP 스캔 설정 방법 강사 : 이성휘 대리.
방승욱 여은수 민세훈 해킹.
Reversing 발표자 : 박현우.
엑셀 리포트를 웹 클라이언트에서 사용시 설정 방법
Windows XP Professional 장점
Presentation transcript:

악성코드, 백도어 이지웅

1. 악성코드 1) 컴퓨터 바이러스 (1) 부트 바이러스 (2) 파일 바이러스 (3) 부트 · 파일 바이러스 (4) 매크로 바이러스 2) 웜 3) 트로이목마 2. 백도어 1) 로컬 백도어 2) 원격 백도어 ※ 참고문헌

 악의적인 목적을 가지고 제작되어 컴퓨터에 악영향을 끼치는 모든 소프트웨 어를 칭한다.  사용자의 명령이나 승인 없이 설치되거나 실행되며 시스템의 성능 저하 또 는 개인 정보 유출 등의 악의적인 행위를 수행한다.  악성코드는 자기 복제 여부에 따라 바이러스성 악성코드와 비 - 바이러스성 악성코드로 나뉜다. - 바이러스성 악성코드 : 웜, 바이러스 - 비 - 바이러스성 악성코드 : 트로이 목마, 백도어 등

표 1.1 악성코드의 증상

표 1.2 누적 악성코드 수 추정치 출처 : 안철수 연구소

 컴퓨터 시스템에 침투하여 숙주 컴퓨터의 프로그램이나 파일을 변형시키고 자기 자신 또는 자신의 변형을 복사하여 또 다른 대상을 감염시킴으로써 컴 퓨터 시스템과 파일을 파괴하는 프로그램이다.  주로 전자메일, 매크로, 인터넷 웹 페이지, 그리고 USB 메모리 등을 통해 서 전파되며 컴퓨터의 비정상적인 동작을 유발하고 시스템의 성능 저하 등 에 영향을 미친다. Header Code Header Code Virus 정상적인 코드의 구조 바이러스의 감염된 코드의 구조

 부트 바이러스는 디스크의 첫 번째 섹터인 MBR(Mast Boot Record) 에 위치 한다.  MBR 에 바이러스가 침투하면 매번 부팅할 때마다 바이러스를 실행시키기 때 문에 정상적인 부팅과정을 방해하게 된다.  이러한 바이러스는 90 년대에 널리 퍼졌다가 32 비트 프로세서가 표준으로 채 택되고 플로피 디스크를 사용하지 않게 되면서 거의 자취를 감추었다. [ 부트 바이러스 감염경로 ]

 전체 바이러스의 90% 이상이 파일 바이러스이며 파일 확장자가 COM, EXE 등의 실행파일이나 DLL 등의 라이브러리 파일, SYS, INF 등의 시스템 정보 설정 파일을 감염시킨다.  파일 바이러스의 종류에는 기생형, 겹쳐쓰기형, 산란형, 연결형으로 나눌 수 있으며 실행파일 실행 시 메모리 영역에 저장되어 실행 중인 다른 실행 파일에 자신을 복제한다.

 기생형 바이러스는 원래의 프로그램을 파괴하지 않고 프로그램의 앞이나 뒤 에 바이러스 프로그램이 붙는다.  기생형 바이러스에 감염된 파일에는 원래의 프로그램과 바이러스 프로그램 이 공존하기 때문에 길이가 증가하지만 사용자는 바이러스 프로그램이 실행 된 다음에 원래의 프로그램을 실행시키기 때문에 바이러스에 감염된 사실을 알지 못하는 경우가 많다.  대표적인 바이러스는 Jerusalem, Dark_Avenger 등이 있다.

 겹쳐쓰기형 바이러스는 원래의 프로그램이 있는 곳에 바이러스 프로그램이 겹쳐서 존재한다.  일반적인 겹쳐쓰기형 바이러스는 파일의 앞부분에 위치하며 감염된 파일을 실행시키면 원래의 프로그램 대신 바이러스 프로그램이 실행되고 원래의 프 로그램이 파괴되었기 때문에 백신 프로그램으로도 복구할 수 없다.  단, 겹쳐쓰기형 바이러스가 프로그램에서 사용하지 않는 영역을 찾아서 들 어갈 경우에는 원래 프로그램의 수행에는 전혀 영향을 미치지 않게 되며 백 신 프로그램으로 복구가 가능하다.  겹쳐쓰기형 바이러스로는 Leprosy, Lehigh 바이러스 등이 있다.

 같은 이름의 COM 파일과 EXE 파일이 같은 디렉토리 안에 존재할 때 파일 이름을 입력하면 COM 파일이 먼저 실행되는 것을 이용해서 EXE 파일을 직 접 감염시키지 않고 같은 이름의 COM 파일을 만들어서 바이러스 프로그램 을 넣어둔다.  대표적인 산란형 바이러스로는 AIDS II 바이러스가 있다.

 연결형 바이러스는 프로그램을 직접 감염시키지 않고 디렉토리 영역에 저장 된 프로그램의 시작 위치를 바이러스 프로그램의 시작 위치로 변경한다.  따라서 프로그램을 실행하면 원래의 프로그램 대신 바이러스 프로그램이 먼저 실행되고 실행이 끝나면 원래의 프로그램을 실행시켜서 사용자가 눈치 채지 못하도록 한다.  대표적인 예로는 DIR II 바이러스가 있다.

 부트 섹터와 파일을 모두 감염시킨다.  바이러스에 감염되면 대부분 파일 바이러스처럼 파일에 존재하다가 실행되 어 시스템 부트 영역에 바이러스를 추가시킴으로써 다음 시스템이 부팅될 때 바이러스가 동작하도록 유도한다  대표적인 종류로는 Natas, Invader, Tequila 바이러스 등이 있다.

 새로운 파일 바이러스의 일종으로, 감염 대상이 실행 파일이 아니라 마이크 로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다.  또한 응용 프로그램에서 사용하는 매크로 사용을 통해 감염되는 형태로 매 크로를 사용하는 문서를 읽을 때 감염된다는 점이 이전 바이러스들과는 다 르다.  대표적인 예로 WM/CAP, WM/LLSTART, W97M/CLASS 바이러스가 있다.

 프로그램 코드 자체를 스스로 복제할 수 있는 컴퓨터 프로그램이다. 자기복 제가 가능하다는 점에서는 바이러스와 비슷하지만 바이러스가 다른 파일을 공격해서 거기에 기생하는데 비하여 웜은 파일과는 독립적으로 실행되며 다 른 프로그램을 필요로 하지 않는다는 점에 다르다.  또한 웜은 사용자와의 상호작용 없이 컴퓨터 시스템의 취약점을 공격하여 그 자체만으로도 네트워크를 통해 전파될 수 있다  컴퓨터 바이러스와 마찬가지로 컴퓨터 자체의 성능에도 영향을 미치지 만 네 트워크를 손상시킬 수도 있다.

Internet Access Registry Document File Document File Worm Access Registry [ 웜의 동작과정 ] 1. 레지스트리 등록 2. 문서 파일 감염 4. 웜의 동작 3. 웜의 초기제어

 그리스 신화의 트로이 전쟁에서 사용된 목마처럼 트로이 목마 프로그램은 겉보기에 는 유용한 프로그램처럼 보이지만 실제로는 해킹 기능을 가진 악성 프로그램을 말한 다.  트로이 목마는 사용자 몰래 컴퓨터의 정보를 외부로 유출하거나 원격제어가 가능하 도록 만든다.  바이러스나 웜처럼 복사 기능은 없기 때문에 스스로 다른 파일이나 컴퓨 터를 감염시 키지는 못하고 주로 사용자가 인터넷에서 다운로드한 파일을 통해 전파되어 사용자 가 실행시키도록 유도한다.  사용자의 개인 정보 유출 등의 피해뿐 아니라 시스템 파일을 변경하거나 파괴할 수 있다. 심각한 경우 시스템이 마비되기도 한다.  대표적인 트로이목마 프로그램으로는 Setiri, Hydan 등이 있다.

 백도어는 원래 시스템의 유지 보수나 유사시의 문제 해결을 위하여 시스템 관리자가 보안설정을 우회하여 시스템에 접근할 수 있도록 만든 도구이다.  최근에는 악의적인 목적을 갖는 공격자들이 시스템에 재침입이 용이하도록 이용하 는 도구를 의미한다. 백도어 프로그램은 비 ( 非 ) 인가된 접근을 허용하는 프로그램으로 공격자가 이후 사용자 인증 과정 등 정상적인 절차를 거치지 않고 프로그램이나 시스 템에 접근할 수 있도록 지원한다.  공격자는 시스템에 침입한 이후 재접속을 위해 백도어를 설치하기도 하지만, 프로그 래머가 관리 목적으로 만들었다가 제거하지 않은 백도어를 찾아 악용하기도 한다.  백도어는 특정 포트를 오픈하여 공격자가 침입할 수 있도록 백그라운드로 실행되며 트로이목마 같은 악성코드를 통해 감염될 수 있다.

 로컬 백도어는 서버의 셸을 얻어낸 뒤에 관리자로 권한 상승 (Privilege Escalation) 을 할 때 사용하는 백도어다. 트랩도어 역시 로컬 백도어라고 생 각 할 수 있다. 시스템에 로그인한 뒤에 관리자로 권한을 상승시키기 위한 백 도어 이므로 로컬 백도어를 이용하기 위해서 공격자는 일반 계정이 하나 필 요하다.

 원격에서 관리자로 계정과 패스워드를 입력하고 로그인한 것처럼 바로 시스 템의 관리자 계정을 할 수 있는 백도어다.  원격백도어의 원리 : 유닉스 및 리눅스 시스템에서 프로그램은 사용자와 마 찬가지로 권한을 가지고 있으며 프로그램이 실행될 때 해당 권한 수준에서 동작하게 된다. 공격자가 공격에 성공한 시스템에 관리자 권한으로 원격 백 도어를 실행시켜 놓으면 이후 데몬처럼 동작하는 백도어를 통해 자연스럽게 관리자 권한으로 시스템을 작동할 수 있다.

 사이버 공격과 보안기술 – 정태명 외 -  한국인터넷 진흥원 : 악성코드 유사 및 변종 유형 예측방법 연구