악성코드 종류와 분석

악성코드

: 악의적인 행위를 하는 코드. 실행파일(.exe, .com, .dll, ...), 스크립트(.bat, .docx, ...) 코드 등 다양한 유형의 소프트웨어

공격자들은 악성코드를 사용해 시스템을 감염, 민감정보 훔치기, 제어 권한 획득, 감시

 

악성코드의 종류 - 기능과 공격벡터에 따른 분류

- 바이러스, 웜: 자가복제 및 다르컴퓨터로 확산, 바이러스는 유저와 상호작용 필요. 웜은 상호작용 없이 확산 가능

- 트로이 목마: 일반 프로그램으로 위장하여 사용자가 자신의 컴퓨터에 설치하도록 유도

- 백도어/원격 접속 트로이 목마: 공격자에 의해 이미 침해된 컴퓨터에 원격 접속 혹은 원격으로부터 명령어를 수신 후 실행

- 애드웨어: 사용자에게 원하지 않는 광고를 노출. 일반적으로 무료 다운로드를 통해 배포, 시스템에 소프트웨어 강제 설치

- 봇넷: 봇에 감염된 컴퓨터 그룹, 공격자가 통제하는 명령어 통제 서버로부터 명령 대기. 주로 DDoS 공격에 활용

- 정보스틸러: 사용자의 키보드 입력과 같은 민감정보 유출. 키로거, 스파이웨어, 스니퍼 등

- 랜섬웨어: 주요 파일을 암호화 한 후 대가를 위해 시스템을 볼모로 잡는 악성코드

- 루트킷: 설치된 시스템에서 공격자에게 관리자 권한을 제공하거나 자신의 존재 여부 또는 행위를 숨기는 악성코드

- 다운로더/드로퍼: 추가 악성코드 컴포넌트를 다운로드하거나 설치하도록 설계된 악성코드

 

악성코드의 종류 - 공격자의 동기에 따른 분류

- 크라임웨어/사용 악성코드: 금전적 이익을 위해 개인, 기업 또는 독점 정보를 훔치는 용도로 사용되는 악성코드

- 표적/첩보 악성코드: 특정 기관(국가) 또는 산업을 대상으로 첩보활동과 인텔리전스 수집을 위해 사용되는 악성코드

 

악성코드 분석

악성코드의 행위를 분석하는 것

본석 목적: 악성코드 기능 파악을 위해 침투된 악성코드를 탐지,악성코드에서 정보를 추출해 악성코드 사고 대응에 활용, 식별 가능한 패턴을 파악하여 악성코드 감염을 막고 치료에사용

분석 주의사항: 조직의 네트워크 및 시스템으로부터 격리된 안전한 환경에서 그 특징과 기능을 분석하여 의심스러운 바이너리를 식별

악성코드와 관련된 네트워크 식별자를 파악 → 네트워크 식별자 예: 악성코드가 접속하는 도메인, IP주소 등

악성코드와 관련된 호스트 내부 식별자 추출 → 호스트 식별자 예: 악성코드가 생성하거나 접근하는 파일명, 레지스트리 키 등