트로이목마 악성코드 개념 및 악용 목적과 종류 정리
목차
트로이 목마 악성코드의 개념
트로이 목마(Trojan horse)는 악성 루틴이 숨어 있는 프로그램이다. 겉보기에는 정상적인 것 같지만 사용자가 실행하면 악성 코드가 실행된다. 사회공학 기법 형태로 많이 확산되며 어떤 악성 코드도 포함될 수 있어서 시스템 파괴, 스파이웨어나 랜섬웨어로의 동작 등 어떤 형태든 가능하지만 주로 백도어로 사용된다.
다른 파일에 삽입되거나 스스로 전파되지는 않지만 트로이 목마와 혼용되는 백도어(Backdoor)는 악성 코드를 지칭하는 말로 사용되는 경우가 많지만, 원래 의미는 운영체제나 프로그램을 생성할 때 정상적인 인증 과정을 거치지 않아도 접근할 수 있게 만든 일종의 통로이다. 프로그램 개발 후 완전히 삭제되어야 하지만 그대로 남아 있는 경우도 허다하다.
트로이 목마(Trojan horse)는 악성 루틴이 숨어 있는 프로그램으로, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행한다. 트로이 목마라는 이름은 트로이 목마 이야기에서 따온 것으로, 겉보기에는 평범한 목마 안에 사람이 숨어 있었다는 것에 비유되어 붙여진 이름이다.
트로이 목마는 보통 사회공학 기법의 형태로 퍼지며, 비록 어떠한 것도 포함될 수 있지만 현대의 트로이 목마들은 백도어로서 사용된다. 트로이 목마 악성코드는 쉽게 발견되기 힘들지만, 무거워진 CPU와 네트워크 사용으로 느려지는 현상은 나타날 수도 있다. 컴퓨터 바이러스나 웜과는 달리, 트로이 목마는 보통 다른 파일에 삽입되거나 스스로 전파되지는 않는다.
트로이목마 악성코드 악용 목적
파괴적 목적
- 시스템 충돌
- 수정이나 파일 삭제
- 데이터 오염
- 모든 내용을 지우는 디스크 포맷
- 네트워크로의 악성코드 전파
- 사용자의 행동 감시와 민감한 정보 접근
자원이나 신분의 사용
분산 서비스 거부 공격으로 사용하기 위해 기계를 봇넷으로서 사용
암호화폐 마이닝을 위한 자원 사용하기 위해 (크립토 재킹) 다른 컴퓨터를 공격하거나 불법적인 행동을 하기 위해서 감염된 컴퓨터를 프록시 1로 사용하여 네트워크에 연결된 다른 디바이스 감염시킨다. 2
금전 절도, 랜섬웨어
- 전자화폐 절도(전자화폐 2중 의미)
- 크립토라커 같은 랜섬웨어 설치(랜섬웨어)
데이터 절도
- 데이터 절도
- 사용자의 비밀번호나 체크카드 정보
- 사용자 신원
스파잉, 감시 또는 스토킹
- 키로깅(keylogging)
- 사용자의 웹캠 보기
- 사용자의 컴퓨터 원격 관리
- 원격 방식의 트로이 목마는 자신의 목적을 수행하기 위해 악성 컨트롤러와의 상호 작용을 필요로 할 수도 있다.
- 네트워크를 스캔해서 트로이 목마가 설치된 위치를 찾고, 해커가 제어할 수 있게 되는 경우도 가능하다.
- 몇몇 트로이 목마는 오래된 버전의 인터넷 익스플로러와 크롬의 보안 결함을 악용하여 컴퓨터를 프록시 서버로 사용함으로써 이것을 통해 불법을 저지르는 경우도 있다.
독일계 국가에서는, 정부에 의해 만들어지고 사용되는 스파이웨어를 Govware라고 부르며 이것은 주로 타깃 컴퓨터에서의 통신을 가로채는 데 사용되며, 스위스와 독일 같은 몇몇 나라들은 이러한 소프트웨어를 이용한 합법적인 프레임워크를 갖는다.
봇넷의 인기와 광고 서비스의 사용으로 인해 트로이 목마는 점점 인기를 얻어가고 있는데 비트디펜더에 의해 2009년 1월부터 6월까지 조사된 바로는 83%의 악성코드가 트로이목마와 유사한 형태였으며 트로이 목마는 웜과 관련되어 있는데, 이것은 웜과 함께 인터넷을 가로질러 이동할 수 있기 때문이다
비트디펜더는 15%의 컴퓨터가 봇넷의 멤버이며, 주로 트로이 감염에 의한 것이라고 언급했다.
대표적인 트로이 목마
- 넷버스(Netbus)
- 12345번 포트 사용한다.
- 가장 사용하기 쉽고 퍼지기 쉬운 트로이 중의 하나이다.
- 백오리피스(Back Orifice)
- 31337번 포트 사용한다.
- 가장 유명하여 제거 툴이 가장 많은 트로이다.
- 스쿨버스(Schoolbus)
- 54321번 포트 사용한다.
- Executor
- 80번 포트 사용한다.
- 감염된 컴퓨터의 시스템 파일을 삭제/시스템을 파괴하는 트로이 중의 하나이다.
- Silencer
- 1001번 포트 사용한다.
- 제거 툴은 나와 있지 않다.
- Striker
- 2565번 포트 사용한다.
- 감염된 컴퓨터를 무조건 고물로 만들어 버린다.
- 시스템 드라이브 등 하드디스크를 모두 파괴하여 아예 부팅이 안 되게 하는 트로이다.