[보안] 해킹 기초 악성코드의 종류와 예방법 공부

 

---

해킹의 단계

1.정찰	정보수집
2.스캐닝 및 취약점 분석	정보수집
3.침투 (gaining access)	공격 익스플로잇
4.권한상승 (privilege escalation)	포스트 익스플로잇
5.백도어 관리 maintaining access)	포스트 익스플로잇
6.흔적지우기 (cover tracks)	포스트 익스플로잇

---

악성코드(Malware)

 

악성코드란 Malware이며 악의적인 목적을 토대로 제작된 코드나 소프트웨어를 칭하는 단어입니다.

여기서 Malware란 Malicious + Software 가 합해진 단어이며

최근 가장 많이 알려진 악성코드로는 주로 랜섬웨어가 있으며

그 전에는 웜이 가장 많았습니다.

 

 

악성코드의 공격 대상은 특정인부터 특정 그룹 혹은 불특정 다수인 세 가지 경우가 존재합니다.

악성코드의 종류에는 바이러스,트로이목마, 웜 등 많이 들어본것들부터

랜섬웨어, 키로거, 애드웨어, 백도어, 루트킷 등 더욱 다양한 종류가 존재합니다.

---

	특징	감염경로
바이러스	바이러스에 감염되면 동일한 악성코드를 복제하여 다른 정상프로그램을 계속 감염	파일 부트레코더
웜	숙주가 없어도 가능 자동 익스플로잇 가능 네트워크를 통해 악성코드를 계속 확산할 수 있으며 취약한 소프트웨어의 사용 분포에 따라 파급력이 결정된다 대부분 마이크로소프트 os를 공격 예시로는 코드레드 웜은 Windows의 iis취약점 공격 Sql Slammer attak은 Windows의 Sql Server를 공격했다. 2017년 이후 패치되지 않은 모든 윈도우 운영체제가 공격당함	네트워크
트로이목마	겉보기에는 일반프로그램이지만 내부적으로는 악성코드를 실행	전파 불가

• CVE-2009-4444 -> MS IIS 취약점(code red worm attack)
• CVE-2002-0649 -> MS Sql Server취약점 (Sql Slammer attack)

---

랜섬웨어(Ransomware)

랜섬은 ransom 몸값이라는 의미며 몸값을 빌미로 상대방의 pc를 붙잡고 공격자가 요구하는 금액을 지불하라는 협박을 합니다.

그렇게 공격자가 얻은 금액들은 다시 랜섬웨어를 제작하는 데 사용되는 경우가 허다하며

암호화 기법은 날이 갈수록 다양하고 복잡해지기에

랜섬웨어가 거는 암호를 뚫어내는 것 또한 쉽지 않아지고 있는 추세입니다.

 

랜섬웨어 종류

• Crypt0 L0 cker(크립트 록커)
• WannaCry

 

대표적인 랜섬웨어로 Crypt0L0cker (크립트 로커),  WannaCry가 존재하는데

cryptlocker은 2015년도 클리앙 사이트를 공격했습니다.

 

또한 랜섬웨어는 인터넷 익스플로러 취약점을 통해 감염되기 때문에 Client Side Attack와 비슷한 방식으로 이루어진다고 볼 수 있으며

크립트 록커는 클리앙 사이트의 광고 배너에 악성 코드를 심는 방식으로 공격이 발생했습니다.

 

또한 WannaCry는 2017년에 발생한 웜 형태의 공격이며

2017년 3월에 MS에서 Samba의 원격코드 취약점이 실수로 발표되었는데

그 취약점을 공격한 것이 WannaCry 공격이었습니다.

인터넷 접속만으로도 감염이 되었기 때문에 매우 강력한 악성코드라고 볼 수 있습니다.

 

랜섬웨어 예방법

랜섬웨어를 통해 파일이 암호화되면 복구할 수 있는 가능성은 희박하다고 봐야 합니다.

그렇기에 랜섬웨어에 대한 예방이 필수일 수밖에 없습니다.

• 파일 백업 일상화 및 중요 파일 별도 백업
• 중요한 파일 및 폴더들 권한 변경(읽기 전용으로 변경)
• OS와 소프트웨어 최신으로 관리 + 주기적인 업데이트
• 최소 1개 이상의 백신 프로그램 설치 혹은 사용

대부분의 공격은 낮은 수준의 업데이트와 소프트웨어 환경에서 발생하기 때문에

지속적으로 최신 업데이트를 사용해야 하며

백신 역시 모든 공격을 막아내진 못하지만 이미 알려진 해킹 공격들은 예방이 가능합니다.

 

-> 하지만 백신 소프트웨어를 무조건 사용해야 하는 건 아닙니다.

보통 windows 운영체제 컴퓨터를 사용한다면

이미 내장된 windows defender를 사용해도 됩니다.

백신 프로그램의 성능은 그리 대단하지 않습니다.

---

APT(Advanced Persistent Threat) Attack

• 지속적인 지능적 위협
• 장기간에 걸친 지속적인 공격을 수행 -> APT
• 금전적 or 정치적 그 외 악의적인 복수 다양한 목적성
• 다양한 해킹 기법을 사용하여 특정 대상을 공격함 -> APT
• 조직적으로 수행

APT 공격이란 보통 영화에서나 볼 수 있듯이 조직/개인 단위의 조직적/지능적 해킹이라고 볼 수 있습니다.

사내에 침입해 스파이 활동을 통해 정보를 위, 변조하거나 타인을 속이는 모두가 APT 공격에 포함되며

말 그대로 지속적, 지능적인 해킹 수법 전부를 통틀어 의미합니다.

 

APT 대응

• 네트워크 망 분리
• 방화벽, IDS/IPS, 웹 방화벽 등 보안장치들 배치 후 사용
• 시스템 업데이트에 대한 정책을 수립해야 함
• 사내 직원들의 개인 PC와 보안 인식 교육 그리고 시스템 관리 필수
• NAC(네트워크 접근 제어)을 이용한 내부 사용자의 접근 권한 제어
• 하드디스크 암호화
• 외부 모의해킹 서비스 수행

사실 절대적인 방어는 불가능합니다.

하지만 많은 노력은 결과를 만들어내듯

보안에 관한 지속적인 관심과 교육을 통해 해킹 공격에 대한 가능성을 조금 더 낮추는 것입니다.

APT에 대응한다는 것은 보안에 취약한 환경과 부족한 지식을 메우는 교육의 역할이 절대적입니다.