Information Technology
악성코드 개념과 동작 및 목적에 의한 분류 정리
coinAA
2021. 11. 22. 17:12
목차
악성코드와 바이러스의 개념
악성 코드의 개념
제작자가 의도적으로 사용자에게 피해를 주기 위해 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 즉 스크립트로 컴퓨터에서 작동하는 실행 가능한 모든 형태를 말한다.
바이러스의 개념
컴퓨터 바이러스란 자기 자신을 복제하여 대상 프로그램에 포함해서 해당 프로그램을 감염시키는 프로그램을 말하며, 전파 기능은 없다.
악성코드 분류
동작에 의한 분류
악성 코드 | 설명 |
바이러스 | 사용자의 컴퓨터(네트워크로 공유된 컴퓨터 포함) 내에서 프로그램이나 실행 가능한 부분을 몰래 변형하여 자신 또는 자신의 변형을 복사하는 프로그램이다. 가장 큰 특성은 복제와 감염이며, 다른 네트워크의 컴퓨터로 스스로 전파되지는 않는다. |
웜 | 인터넷 또는 네트워크를 통해 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램이다. 윈도우 또는 응용 프로그램의 취약점을 이용하거나 이메일 또는 공유 폴더를 통해 전파되며, 최근에는 공유 프로그램(P2P)을 통해 전파 되기도 한다. 바이러스와 달리 스스로 전파된다. |
트로이목마 | 바이러스나 웜처럼 컴퓨터에 직접적인 피해를 주지는 않지만, 악의적인 공격자가 침투하여 사용자의 컴퓨터를 조종하는 프로그램이다. 고의적으로 만들어졌다는 점에서 프로그래머의 실수인 버그와는 다르다. 자기 자신을 다른 파일에 복사하지 않고 인터넷 또는 네트워크를 통해 전파되지 않는다는 점에서 컴퓨터 바이러스나 웜과 구별된다. |
PUP | 잠재적으로 원하지 않는, 즉 불필요한 프로그램이란 의미로, 사용자에게 치명적인 피해를 주지는 않지만 불폄함을 주는 악성 코드이다. 프로그램 설치 시 사용자에게 직간접적인 동의를 구하지만 용도를 파악하기 어렵게 한다. 스파이웨어나 공고가 포함된 악성 코드 프로그램, 웹 사이트 바로가기 생성 프로그램 등이 있다. |
목적에 의한 분류
악성 코드 | 설명 |
랜섬웨어 (Ransomware) |
인질의 몸값을 나타내는 'Ransom'과'Software'의 합성어로 최근 급격히 퍼지고 있는 악성코드이다. 사용자에 의해 랜섬웨어가 실행되면 파일 암호화가 진행되어 사용자가 실행하거나 읽을 수 없게 한다. 즉 자료와 정보를 인질로 삼아 돈을 요구하는 것이다. |
백도어 (Backdoor) |
원래의 목적은 시스템의 유지 및 보수나 유사시 문제 해결을 위해 시스템 관리자가 보안 설저을 우회한 다음 시스템에 접근 할 수 있도록 만든 도구인 백도어를 악의적인 목적을 가진 공격자가 시스템에 쉽게 재침입하는데 이용하는 경우를 의미한다. 백도어 프로그램은 비인가된 접근을 허용하는 것으로, 공격자가 사용하는 인증 동의 절차를 거치지 않고 프로그램이나 시스템에 접근할 수 있도록 지원한다. 시스템에 침입한 공격자는 재접속을 위해 백도어를 설치하기도 하지만, 프로그래머가 관리하기 위한 목적으로 만들었다가 제거하지 않은 백도어를 찾아 악용하곤 한다. |
익스플로잇 (Exploit) |
운영체제나 특정 프로그램의 취약점을 이용하여 공격하느 악성 코드이다. 기존의 익스플로잇 코드는 공격자가 직접 공격을 수행했으나 최근에는 악성 코드로 제작 및 배포하여 자동으로 공격 확산을 수행하는 경우가 많아지고 있다. |
봇 (Bot) |
DDoS(분산 서비스 거부)공격 시 지정된 공격을 수행하도록 하는 악성 코드이다. 무수히 많은 봇이 모여 대규모 DDoS 공격을 수행하는 봇넷을 구성한다. |
스캐어웨어 (Scareware) |
'Scare(겁주다)'와 'Software'의 합성어로 사용자를 놀라게 하거나 겁을 주어 원하는 목적을 달성한다. 악성 코드에 감염되지 않았는데도 악성 코드를 탐지했다고 겁을 주고 자사의 안티바이러스 제품으로 제거해야 한다는 식으로 제품 구매를 유도하곤 한다. |
다운로더 (Downloader) |
네트워크를 통해 데이터나 프로그램 등을 내려 받는 것이 목적으로, 내려 받은 데이터나 프로그램이 추가 공격을 위한 악성 코드이거나 악성 코드 작성자의 명령 집한인 경우이다. 무언가를 내려 받은 것 자체는 흔한 동작이라 백신 모니터링 시 간과하기 쉽다. |
드로퍼 (Dropper) |
외부에서 파일을 내려 받은 다운로더와 달리 드로퍼는 자신 안에 존재하는 데이터로부터 새로운 파일을 생성하느 공격을 수행하는 것이 목적이다. 드로퍼가 생성하는 파일은 압축되어 있어 실행해보지 않고서는 확인이 어렵다. |
런처 (Launcher) |
다운로더나 드로퍼 등으로 생성된 파일을 실행하기 위해 관련 기능을 포함하고 있다. |
애드웨어 (Adware) |
광고가 포함된 소프트웨어로, 소프트웨어 자체적으로 광고를 포함하거나 같이 묶어서 배포한다. 압축 또는 동영상 재생 프로그램과 같은 프리웨어 설치 시에 동의 항목에 포함되어 실치 및 실행되는 경우가 많다. 사용자의 인식 없이 설치된 애드웨어는 인터넷 시작 페이지 변경, 광고와 관련된 알림 창 띄우기, 방탕 화면에 광고 페이지의 바로가기 지속 생성이 목적이다 |
스파이웨어 (Spyware) |
개인이나 기업의 정보를 몰래 수집하여 동의 없이 다른곳에 유출하는 것이 목적이다. 자신의 존재를 숨긴 채 사용자의 컴퓨터 조작 방해, 사용자의 컴퓨터 모니터링, 사용자의 정보, 검색 흔적, 사용자 로그인 정보, 금융정보 등을 수집한다. 스파이웨어는 패스워드 스틸러, 키로거 등으로 세부화될 수 있다. |
악성 프로그램 감염 증상
대분류 | 소분류 | 설명 |
시스템 | 시스템 설정 정보 변경 | 레지스트리 키 값을 변경하여 시스템 정보를 변경한다. |
FAT 파괴 | 시스템의 파일 시스템을 파괴한다. | |
CMOS 변경 | CMOS의 내용을 변경하여 부팅 시 오류를 발생 시킨다. | |
CMOS 정보 파괴 | CMOS의 일부를 파괴한다. | |
기본 메모리 감소 | 시스템의 기본 메모리를 줄인다. | |
시스템 속도 저하 | 시스템의 속도를 저하시킨다. | |
프로그램 자동 실행 | 레지스트리 값을 변경하여 시스템 부팅 시 특정 프로그램을 자동으로 실행한다. | |
프로세스 종료 | 특정 프로세스를 강제로 종료 시킨다. | |
시스템 재부팅 | 시스템을 재부팅시킨다. | |
네트워크 | 메일 발송 | 특정 사용자에게 메일을 발송한다. |
정보 유출 | 사용자의 정보를 네트워크를 통해 공격자의 커퓨터로 전송한다. | |
네트워크 속도 저하 | 감염된 컴퓨터가 속한 네트워크가 느려진다. | |
메시지 전송 | 네트워크를 통해 다른 컴퓨터로 메시지를 전달한다. | |
특정 포트 오픈 | 특정 백도어 포트를 연다. | |
하드디스크 | 하드디스크 포맷 | 하드디스크를 포맷한다. |
부트 섹터 파괴 | 하드디스크의 특정 부분을 파괴한다. | |
파일 | 파일 생성 | 특정 파일(주로 백도어 파일)을 생성한다. |
파일 삭제 | 특정 파일을 바이러스에 감염 시킨다. | |
파일 감염 | 특정 파일을 바이러스에 감염 시킨다. | |
파일 손상 | 특정 파일ㅇ 바이러스가 겹쳐 쓰기 형태로 감염되어 손상된다. | |
파일 암호화 | 파일이 임의로 암호화되어 접근할 수 없다. | |
특이점 | 이상 화면 출력 | 출력 화면에 특정 내용이 나타난다. |
특정 음 발생 | 컴퓨터에서 특정 음이 발생한다. | |
메시지 상자 출력 | 출력 화면에 특정 메시지 상자가 나타난다. | |
증상 없음 | 특이한 증상이 없다. |