Trojan에 해당하는글 5



문자메시지를 통한 이중인증은 은행들이 많이 사용하는 방식이다. 이중인증은 물론 암호만 확인하는 방식보다는 안전하지만 결코 무적은 아니며 보안전문가 그리고 맬웨어제작자들은 10년 전 이중인증이 널리 채택되기 시작할 당시에 이미 이를 어떻게 속일 수 있는지 간파해 냈다. 그렇기 때문에 트로이목마 제작자들은 일회용 문자메시지 인증을 어렵지 않게 뚫을 수 있으며 그 과정은 다음과 같다.

1. 사용자가 스마트폰에서 정상적인 뱅킹 앱을 실행한다.

2. 트로이목마가 뱅킹 앱을 탐지하고 해당 앱의 인터페이스를 복사하여 자신을 위장한다. 이 경우 가짜 화면과 원래 화면과 동일하게 보인다.

3. 사용자가 가짜 앱에 로그인 아이디와 비밀번호를 입력한다.

4. 트로이목마가 범죄자 측에 로그인 정보를 전송하면 범죄자가 이 정보를 이용하여 사용자의 뱅킹 앱에 접속한다.

5. 범죄자가 자신의 계좌로 돈을 이체하는 과정을 개시한다.

6. 원래 사용자의 스마트폰에 일회용 인증번호가 문자메시지로 전송된다.

7. 트로이목마가 문자메시지에서 비밀번호를 추출하여 범죄자 측에 전송한다.

8. 트로이목마는 해당 문자메시지를 사용자가 확인하지 못하도록 한다. 따라서 원래 사용자는 실제로 계좌이체내역을 확인하기 전까지는 트로이목마의 해킹과정을 알지 못한다.

9. 범죄자는 전송받은 인증번호를 통해 이체를 완료하고 돈을 챙긴다.


오늘날의 뱅킹 트로이목마라면 하나같이 문자메시지 이중인증을 속일 수 있다는 말은 결코 과장이 아니다. 사실 맬웨어제작자들은 은행들이 이중인증과 같은 방어대책을 채택하는 데 적응하는 것일 뿐이다.


사실 위와 같은 해킹이 가능한 악성앱은 결코 적지 않다. 카스퍼스키 연구진은 최근 몇 개월에 걸쳐 3종의 맬웨어에 대한 상세 소개글을 작성한 바 있으며 이를 간략히 요약하면 다음과 같다.

1. Asacub: 본래 스파이앱이었으나 트로이목마로 개량된 후 모바일뱅킹에서 돈을 빼돌릴 수 있다.

2. Acecard: 30종에 달하는 뱅킹앱 인터페이스를 복제할 수 있는 강력한 트로이목마로 현재 모바일맬웨어는 Acecard의 방식을 따르는 추세에 있다. 예전 트로이목마가 하나의 정해진 은행이나 결제서비스를 표적으로 삼았다면 오늘날의 트로이목마는 여러 앱을 동시에 위조할 수 있다.

3. Banloader: 브라질에서 만들어진 트로이목마로 컴퓨터와 스마트폰에서 동시에 실행될 수 있다.


결국 오늘날의 뱅킹트로이목마를 막기에 이중인증은 역부족이다. 이는 사실 몇 년 전부터  이미 존재했던 문제며 앞으로도 이 상황이 변하지는 않을 것으로 보인다. 그렇기 때문에 추가적인 보안대책이 필요하다. 우선 공식 채널을 통해서만 앱을 설치하도록 해야 하지만 구글 플레이스토어나 애플 앱스토어에 트로이목마가 침투한 사례가 있기 때문에 이 방법도 완전히 신뢰할 수는 없다. 따라서 카스퍼스키 솔루션과 같은 우수한 모바일 안티바이러스를 설치하여 사용할 필요가 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, How banking Trojans bypass two-factor authentication, 3. 11. 2016.

https://usblog.kaspersky.com/banking-trojans-bypass-2fa/6849/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.08 13:03


오늘날 맬웨어의 진화과정에는 일정한 패턴이 있다고 여겨진다. 우선 기본적인 기능만 있고 악성활동은 거의 없이 조용히 작동하는 맬웨어가 주로 트로이목마의 형태로 등장한다. 이 초기 악성코드는 배포되고 얼마 지나지 않아 여러 안티바이러스 업체에게 포착되긴 하지만 아직까지는 별다른 주목을 받지 못하는 잠재적 악성코드에 불과할 뿐이다.


시간이 지나고 나면 해당 트로이목마는 추가 기능을 갖추고 본격적인 위해를 가할 수 있게 되며 마지막 단계에서는 대규모 공격이 개시됨에 따라 수천 대의 기기가 감염되고 트로이목마가 본래 기획된 행동을 개시한다. 얼마나 큰 피해가 야기되는지는 트로이목마의 구체적인 유형에 따라 달라지는데 이는 수백 달러에 달하는 돈을 뜯어내는 랜섬웨어가 될 수도 있고 신용카드라든지 스파이툴을 통해 개인정보를 탈취하는 뱅킹트로이목마(banking trojan)가 될 수도 있다.



Asacub는 위와 같은 단계별 진화과정을 단적으로 보여주는 사례로 처음에는 단순한 피싱프로그램이었지만 이후 강력한 기능을 갖춘 뱅킹트로이목마로 진화했다. 이러한 Asacub보다 더욱 흉악하다고 할 수 있는 악성코드가 바로 Acecard다. Acecard 안드로이드 뱅킹트로이목마 계열 악성코드로 다른 뱅킹트로이목마와 마찬가지로 모바일 금융어플리케이션의 인터페이스에 자체 피싱 입력창을 덮어씌움으로써 사용자로 하여금 카드정보를 입력하도록 유도한다. 사용자가 입력완료 등의 기능을 실행하면 입력된 데이터가 탈취되며 악성코드 제작자 측에서는 카드에서 자기네 계좌로 돈을 빼돌리거나 해당 개인정보를 제3자에게 매각할 수 있다.


Acecard가 특히 돋보이는 이유는 우선 일반적인 뱅킹트로이목마가 고작 몇몇 뱅킹 어플리케이션만 복제 가능한 데 비해 30종에 달하는 은행 및 결제서비스를 복제할 수 있다는 점에 있다. 특히 중앙 서버로부터 별도의 명령을 부여받으면 사실상 모든 종류의 어플리케이션을 복제할 수 있기 때문에 실제로 공격대상이 되는 앱은 훨씬 많아질 수 있다. 아울러 Acecard의 복제대상이 뱅킹어플리케이션에 국한되지 않는다는 점도 위험하다. Acecard는 페이스북, 트위터, 인스타그램 등 모바일 소셜네트워크앱 그리고 왓스앱, 스카이프 등 메신저를 복제할 수 있고 페이팔과 구글 지메일 계정까지 흉내낼 수 있으며 특히 구글플레이스토어와 구글플레이뮤직에 대해서까지 피싱창을 구현할 수 있다.




Acecard는 일반적인 이메일 스팸으로도 배포되지만 플래시 등 유용한 유틸리티로 위장할 수도 있다. 참고로 안드로이드용 플래시는 2012년 이미 지원이 중단됐기 때문에 현재 정식으로 서비스가 제공되는 안드로이드 플래시 플레이어는 존재하지 않는다. 또한 구글플레이스토어를 통해 Acecard를 다운받는 트로이목마도 발견됐다. Acecard는 2014년 2월 처음 발견될 당시만 해도 특별한 악성행동을 보이진 않았지만 1년 반이 지나면서 신기능이 추가됨에 따라 실질적인 위협으로 거듭났다. 카스퍼스키 연구진은 Acecard 변종을 10종 넘게 발견했으며 각 버전은 더욱 강력한 기능을 갖춰 나가고 있다. 특히 카스퍼스키 선임맬웨어분석가 Roman Unuchek은 최근 변종을 두고 "현존 최악의 위협"으로까지 평가했다. Acecard의 본격적인 공격은 2015년 5월 시작됐으며 9월에 이르기까지 6천 명이 넘는 사용자가 공격에 노출됐다. Acecard는 호주에서 뱅킹 사이버공격이 급증한 원인이며 러시아, 독일, 오스트리아, 프랑스에서도 피해사례가 속출했다. Acecard 배후세력은 러시아어 구사자로 추정된다.




모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.


2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.


3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Android trump card: Acecard, 2. 22. 2016.

https://usblog.kaspersky.com/acecard-android-trojan/6745/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.05 15:31

Retefe 트로이목마는 금융고객의 계정 등 개인정보를 탈취하는 악성코드며 주로 악성 자바스크립트가 문서파일을 첨부물로 하는 피싱 이메일을 통해 배포된다. Retefe는 스웨덴, 스위스, 일본 등지에서 발견된 바 있으며 최근에는 영국의 Smile 은행을 목표로 공격을 실행했다.


이번 사례를 보면 감염경로, 악성인증서 설치과정 등 기본적인 부분은 크게 바뀌지 않았다. 악성 자바스크립트가 실행되면 우선 웹브라우저 프로세스 종료를 시도한다. 그리고 허위 인증서를 설치한 다음 프록시 자동설정 URL을 변경한다. 스크립트는 Dean Edwards 패커를 통해 난독화돼 있다.


다만 Smile 사례에서 새로운 점이 있다면 악성 구성요소가 하나 추가됐다는 사실이다. 원래 자바스크립트에 포함됐던 파웨쉘 스크립트는 2종으로 허위인증서 설치과정에서 나타나는 확인창에서 "OK"를 클릭하는 ConfirmCert 그리고 허위인증서를 파이어폭스 브라우저에 추가하는 AddCertFF가 있다. 이번에 새로 추가된 InstallTP 스크립트는 Task Scheduler Wrapper, 토르(Tor) 클라이언트, Proxifier를 다운받아 설치한다.


우선 Task Scheduler Managed Wrapper는 Codeplex를 통해 다운로드되며 "New-Object Microsoft.Win32.TaskScheduler.TaskService"라는 오브젝트를 사용할 수 있도록 하는데 이는 맬웨어의 작동을 지속시키는 역할을 한다. 작업관리자에  "AdobeFlashPlayerUpdate" 및  "GoogleUpdate Task" 작업이 추가되어 30분마다 실행되며 토르와 Proxifier도 실행한다. 사용자가 이를 중지시킨다 해도 30분 내에 다시 시작된다.


토르 클라이언트는 악성코드가 .onion 도메인에 직접 연결할 수 있도록 하며 이를 통해 AutoConfigURL에 포함된 .onion 도메인에 직접 연결이 가능하다. 토르 클라이언트는 콘솔 어플리케이션으로 본래 정상적으로 실행되면 사용자가 창을 볼 수 있다. 하지만 Retefe에 감염된 기기에서는 창이 숨겨지는데 이는 nCmdShow 값이 SW_HIDE로 설정된 상태에서 ShowWindow가 요청되기 때문이다.



Proxifier는 프록시서버 경유를 지원하지 않는 네트워크 어플리케이션이 SOCKS 또는 HTTPS 프록시 및 체인을 통해 작동할 수 있도록 한다. Proxifier는 9050번 포트를 통해 로컬호스트에서 구동하는 토르 프록시로 모든 트래픽을 경유시킨다. Proxifer는 프록시를 경유하여 접속될 대상과 직접 접속될 대상을 지정할 수 있다.아래 그림을 보면 api.ipify.org를 방문할 경우 직접접속에 해당되어 IP주소가 변경되지 않음을 볼 수 있는데 설정파일을 보면 공격자 측에서 Proxifier를 해킹하여 변조한 버전을 쓰고 있음을 알 수 있다.






프록시 설정의 경우 영국 IP주소를 가진 시스템에 대해서만 적용되며 이는 이전 Retefe 버전과 비슷하다. 만약 감염된 기기에서 예전에 접속했던 은행이나 새로 추가된 은행에 접속할 경우 해당 트래픽은 악성 프록시로 이전된다. 아래 그림에서 볼 수 있듯 해당 프록시는 토르 네트워크에 숨겨져 있다.



사용자가 표적 웹사이트를 방문하면 해당 사이트에 대한 인증서는 허위 인증서로 교체되며 공격자는 이를 통해 감염을 숨기고 사용자의 로그인 정보를 훔칠 수 있다. 아래 그림을 보면 본 사례에서 Retefe가 추가한 가짜 Smile 은행 웹사이트를 볼 수 있다. 이렇게 허위의 HTTPS 인증서를 통해 사용자를 안심시킨다는 점이 Retefe 트로이목마의 가장 큰 위험이라고 할 수 있다.







Retefe 트로이목마 SHA 해시값은 다음과 같다.

03E6A87CC90BD5A8B2EB2E4B6C3D8201B8DC7E7A89FF8A6AA05E9539146FD1AF

347701FAF633D1EDAAA630BA1D3652F13D6097C3855B91C14551390F4C56096F

3944686BEDEA78C498BFCF0431DE509EE118C0CC95DA07402B12E4C954F1A125

6308623E0CF994FC14F8F483A840E0E28428D510CDFC4F07992E40B3F2C77FF4

6B1869D8C1BB898BAC91220823AE80D770D9591DA60EE919FCA0A588D994DFA6

821EBC34F86BFF680E4AACEA40FDACECB3B45B3BE9D231EF9AC261FA2FDC7549

C6E0FC6B084443A0B5D18778F93EE9EBFB7758435BAEEF284F2835552DD641EB

CE549E89D46BD5657809A129C9C02BAEE934F91888A18928F387942F156429EC

CE55C12B504DFF52867F59FAD40C3EED4A4D0CA10A33B3FF3E3BE1039F86B67E

D1C0661E19AB3EDEA209EEFEAC38904FC0D5264F065EB9E769598A55DB938908




Jaromír Hořejší, The evolution of the Retefe banking Trojan, 7. 18. 2016.

https://blog.avast.com/the-evolution-of-the-retefe-banking-trojan


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.25 14:11



게시일: 2016-07-14 l 작성자: Janus Agcaoili (Threat Response Engineer)

유럽에서 오래 전부터 활동해오던 뱅킹 트로미목마 ‘베블로(BEBLOH)’가 일본까지 확산되며 활발한 활동을 벌이고 있는 것이 확인되었습니다. 사이버 범죄자들은 현지 ISP 제공회사, 유사 홈페이지 주소 등 일본 회사의 브랜드명을 이용하여 사용자들이 멀웨어를 다운받도록 유도합니다. 해당 멀웨어를 다운받을 브라우저, FTP 클라이언트, 메일 클라이언트 감시를 통한 정보 탈취가 가능해집니다. 베블로의 주요 타겟은 바로 지역 은행입니다.

베블로는 2009년도에 처음 등장하여, ‘제우스(Zeus)’와 ‘스파이아이(SpyEye)’ 같은 경쟁자를 이겨내고 현재까지 살아남았습니다. 베블로는 피해자가 알지 못하는 사이에 은행 계좌에 접근하여 돈을 탈취합니다. 베블로는 안티바이러스 프로그램을 우회하기 위한 새로운 방법을 지속적으로 개발해왔습니다. 이번 경우도, 베블로는 메모리에 숨어 시스템 종료 시 임시 실행파일을 만든 후 PC를 재감염 시킨 후 해당 파일을 삭제합니다.


일본 현지 상황

전세계적으로 스팸메일을 통한 랜섬웨어 감염이 다수 발생하는 반면, 일본 현지에서 확인되는 스팸메일을 통한 멀웨어 감염은 온라인 뱅킹 트로이목마가 대다수입니다. 일본 경찰청에서 2016년 3월 발표한 보도자료에 따르면 이러한 온라인 뱅킹 트로이목마의 표적이 되는 은행 및 금융기관은 주요 시중 은행이 아닌 지역 은행과 신용 조합입니다. 이 자료에 따르면, 피해액이 사상 최대 금액인 약 26억 4,600만엔(약 2,580만 달러)에 달했으며, 베블로의 활동이 추가되며 일본의 뱅킹 트로이목마 피해는 더욱 커질 것으로 추정하고 있습니다.

트렌드마이크로는 2015년 12월부터 베블로의 일본 활동을 탐지하고 있습니다. 당시 324건의 탐지 수에 비해, 위 경찰청 2016년 3월 자료에서는 탐지 수가 약 2,562로 증가한 것을 확인할 수 있습니다.


모두가 공격 대상

베블로의 공격 대상은 엔드유저 뿐만 아니라 기업 직원도 포함합니다. 공격자가 보낸 스팸메일은 회사 및 개인 메일 계정에 발송되었습니다. 개인 계정으로 보낼 경우 대출, 쇼핑, 택배 등과 같은 개인 관심사 내용을 포함하며, 회사 계정으로 보낼 경우 이력서 등의 내용으로 꾸며집니다. 그렇기 때문에 확산과 감염이 빠르게 이루어지고 있습니다.

번역: 본 이메일은 보안을 강화하기 위한 전자 서명이 포함되어 있습니다. 
2016년 3월 3일 송금이 완료되었음을 알려드립니다. 
전자서명(전자서명)

번역: “전체 레코드 이미지"

그림 1. 개인 및 회사에 보내진 스팸메일 샘플

새로운 공격방법

베블로는 패커를 신속하게 자주 변경합니다. 베블로의 일부 버전에서는 자신이 생성한 프로세스에서 실행 파일을 암호해제하는 버전과 자신의 메모리에 해독한 후 explorer.exe 또는 iexplorer.exe등의 정규 프로그램에 자신의 코드를 대체하는 버전이 확인되고 있습니다. 그렇기 때문에 패커의 업데이트 속도에 따라가지 못하는 보안 제품에서는 탐지하지 못합니다.

베블로가 설치되면 C&C (Command and Control)서버에 접속하여 웹 인젝션(Web Injection) 설정 다운로드 등의 과정을 실행합니다. 앞서 언급한 바와 같이, 베블로의 정보 탈취 기능으로 피해자의 은행 계좌를 약탈할 수 있습니다.

또한 다운로드 되는 악성 프로그램은 브라우저, FTP 및 메일 클라이언트를 감시하는 스파이웨어 TSPY_URSNIF 로 확인되었습니다. 스파이웨어 이외에도 베블로는 스팸봇 멀웨어인 BKDR_PUSHDO 또한 다운로드 합니다.

C&C 서버와의 통신 중 다운로드에서 사용하는 URL이 C&C 서버의 응답에 따라 변경된다는 것을 발견하였습니다. 당사 보유한 샘플은 독립된 3일 동안 3가지 URL이 사용되고 있는 것을 확인하였습니다. URL 응답은 암호화되어 있습니다. 하지만 암호해제 될 경우 “CV {value}/r/n>DI/r/n>LD {URL}” 형식을 이용하는 것을 확인할 수 있습니다.

그림 2. C&C 서버 통신 암호해제

이번 베블로는 지역 은행, 신용 조합, 온라인 은행 및 주요 시중 은행을 포함한 일본 17개 은행과 금융기관을 감시하고 있습니다. 소규모 은행을 대상으로 함으로써 공격자는 공격 활동이 알려지지 않고 조용히 지나가는 것을 기대합니다. 또한 중소규모의 은행은 보안 대책이 충분하지 않은 경우가 많기 때문에 공격자의 표적이 된 것으로 파악하고 있습니다.

트렌드마이크로의 이메일 보안 솔루션인 Deep Discovery Email Inspector는 차세대 탐지 기술을 이용하여 사용자가 악성 첨부파일을 다운로드하거나 실행하지 않도록 스피어피싱 이메일을 탐지 및 차단합니다. 마크로 멀웨어 문서 파일, PDF, 실행파일, 스크립트 등과 같은 악성 첨부파일을 차단할 수 있으며, 본문 또는 제목에 포함된 악성 URL 및 첨부 문서에 기록된 URL을 탐지하여 차단합니다.


원문: BEBLOH Expands to Japan in Latest Spam Attack




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


일본에서 유행 중인 뱅킹 트로이목마 ‘베블로(BEBLOH)’, 이메일 보안이 답이다!

https://www.trendmicro.co.kr/kr/blog/bebloh-expands-japan-latest-spam-attack/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.20 12:52



맬웨어

맬웨어(malware)란 악성소프트웨어(malicious software)의 준말이다. 보통 모든 종류의 유해 소프트웨어를 칭하는 말로 바이러스라는 단어가 사용되지만 사실 바이러스는 맬웨어의 한 종류며 유해 소프트웨어를 총괄하는 단어는 바로 맬웨어다.

 

바이러스

바이러스(virus)는 맬웨어의 일종으로 다른 파일을 감염시켜 자신을 복제하는 행동양상을 보인다. 이는 실제세계의 바이러스가 세포를 감염시킴으로써 자가복제하는 원리와 비슷하다. 바이러스는 백그라운드에서 암호탈취, 광고게시, 컴퓨터 작동중단 등 다양한 결과를 야기할 수 있으나 그 본질적인 속성은 전파방식에 있다. 바이러스는 실행되면 해당 컴퓨터의 프로그램 파일을 감염시키며 그 프로그램이 USB 등을 통해 다른 컴퓨터로 전달되면 그 컴퓨터의 프로그램 파일도 감염되는 식으로 번져 나가는 것이다.

 

(worm)은 감염시킨 컴퓨터에 여러 해로운 결과를 야기할 수 있다는 점에서 바이러스와 비슷하지만 전파방식이 다르다. 바이러스는 파일을 감염시키고 인간 행동에 의해 해당 파일이 이전되어 감염이 퍼지지만 웜은 컴퓨터 네트워크를 통해 인간 행동에 의존하지 않고 자체적으로 전파된다. 예를 들어 Blaster Sasser 웜의 경우 윈도XP가 많이 쓰이던 당시 빠르게 퍼졌는데 이는 윈도XP의 보안대책이 불충분하여 시스템서비스를 인터넷에 노출시켰기 때문이다. Blaster Sasser 웜은 인터넷을 통해 이렇게 노출된 시스템서비스에 접근하여 취약점을 악용함으로써 해당 컴퓨터를 감염시키며 이렇게 감염된 컴퓨터를 이용하여 자가복제를 지속하게 된다. 비록 요즘은 윈도에 방화벽이 기본적으로 설정돼 있어서 위와 같은 위협은 줄었으나 감염된 사용자의 주소록을 이용하여 대량의 이메일을 통해 전파되는 등의 방법이 있기 때문에 웜의 위협은 여전하다.

 

트로이목마

트로이목마(Trojan horse; Trojan)는 정상적인 파일로 가장하는 맬웨어를 가리킨다. 사용자가 어떤 프로그램을 다운받아 실행시킬 때 트로이목마가 백그라운드에서 실행되며 이 경우 제3자가 사용자 컴퓨터에 접속할 수 있다. 트로이목마 또한 감염대상 컴퓨터의 활동을 모니터링하거나 해당 컴퓨터를 좀비PC 네트워크인 봇넷에 편입시키는 데 활용되며 또한 감염대상 컴퓨터에 더욱 많은 맬웨어를 유입시키기도 한다. 트로이목마의 특징은 유용한 프로그램임을 가장하는 전파방식에 있다. 트로이목마는 다른 파일에 대해 자신을 복제시키거나 네트워크를 통해 전파되는 행동양상을 보이지는 않으며 이 점에서 바이러스나 웜과 다르다. 유해하지 않은 웹사이트에서 해적판 소프트웨어를 배포할 경우에도 해당 소프트웨어가 트로이목마가 포함돼 있을 수도 있다.


 

랜섬웨어

랜섬웨어(ransomware)란 대상컴퓨터의 파일을 인질삼아 돈을 뜯어내는 수법을 사용하는 비교적 신종의 맬웨어다. 맬웨어는 대부분 수익을 목적으로 제작되는데 랜섬웨어는 이를 가장 잘 보여준다. 랜섬웨어 중에는 단순히 컴퓨터를 계속 사용하려면 돈을 내라는 팝업을 띄우는 경우도 있지만 이는 안티바이러스 소프트웨어로 쉽게 방지할 수 있다. 그러나 CryptoLocker와 같은 랜섬웨어는 파일을 모조리 암호화하고 해당 파일에 대한 접근을 복구하는 대가로 돈을 요구하기 때문에 백업 등의 대책이 미리 구비되지 않은 이상 아주 위협적이다.


<참고: 랜섬웨어 차단 AVG 유료안티바이러스>


 

스파이웨어

스파이웨어(spyware)는 사용자 몰래 사용자를 감시하는 악성 소프트웨어로 종류에 따라 다양한 유형의 데이터를 수집한다. 스파이웨어는 트로이목마에 포함되어 키입력을 감시함으로써 금융데이터를 탈취하는 등 다양한 형태로 존재할 수 있다. 한편 합법적인 스파이웨어의 경우 무료 소프트웨어에 포함되어 웹브라우징 패턴을 모니터링하고 이 데이터를 광고서버에 전송함으로써 소프트웨어 제작자가 사용자 브라우징에 대한 정보를 판매하여 수익을 올리는 수단으로 쓰일 수도 있다.

 

애드웨어

애드웨어(adware)는 컴퓨터에 광고를 띄우는 모든 종류의 소프트웨어를 의미하며 대체로 스파이웨어와 함께 발견된다. 대체로 프로그램 내에 광고를 게시하는 프로그램은 그 자체만 가지고는 맬웨어라고 하지 않으며 어느 정도 용인될 수 있다. 실제로 정상적인 프로그램과 함께 애드웨어가 설치되는 일도 많으며 그 예로 오라클 자바 소프트웨어에 Ask 툴바가 포함된 경우를 꼽을 수 있다. 한편 허용되지 않는 경우에까지 시스템에 대한 접근을 악용하여 광고를 게시하는 애드웨어는 악성으로 보아야 하며 사용자가 아무런 활동도 안 하는데 광고가 뜬다든지 웹브라우징을 할 때 웹페이지에 추가 광고를 주입한다든지 하는 경우를 예로 들 수 있다. 애드웨어는 사용자 브라우징을 추적하는 스파이웨어를 동반하는 경우가 많다.

 

키로거

키로거(kelogger)는 백그라운드에서 구동되면서 사용자의 모든 키입력을 기록하는 맬웨어를 의미한다. 이러한 키입력을 통해 사용자 아이디, 비밀번호, 카드번호 등 각종 비밀정보를 알아낼 수 있다. 키로거는 이러한 키입력 기록을 악성서버로 전송하게 되며 그 서버에서 데이터를 분석함으로써 비밀번호와 카드번호 등의 정보를 탈취할 수 있게 된다. 바이러스, , 트로이목마 등도 키로거 기능을 가지고 작동할 수 있으며 키로거를 업무 모니터링 목적으로 의도적으로 설치하는 경우도 있을 수 있다.


 

, 봇넷

(bot)이란 특수한 맬웨어에 감염되어 외부로부터 중앙 제어를 받는 컴퓨터를 의미하며 봇넷(botnet)이란 이러한 봇이 대규모로 모여서 이루어진 컴퓨터 네트워크를 가리킨다. 봇 소프트웨어가 컴퓨터를 감염시키고 나면 중앙 제어서버에 접속하여 봇넷 생성자의 지시를 기다리게 되며 이를 통해 봇넷은 각종 악의적 용도로 활용될 수 있게 된다. 봇넷은 예를 들어 분산서비스거부(distributed denial of service, DDoS) 공격에 활용될 수도 있다. 봇넷의 각 컴퓨터가 특정 웹사이트나 서버에 한 차례씩 요청을 보내도록 하여 수백만 건에 달하는 요청으로 인해 목표 서버를 마비시키거나 응답불가 상태로 만드는 식이다. 봇넷 생성자는 봇넷에 대한 제어권한을 다른 악의적 주체에게 판매하여 수익을 올릴 수도 있다.

 

룻킷

룻킷(rootkit)은 말 그대로 컴퓨터의 핵심영역인 루트(root) 영역까지 깊숙이 침투하여 사용자와 보안프로그램에 의한 탐지를 피하는 맬웨어를 가리킨다.

룻킷은 윈도가 부팅되기 전에 실행되어 시스템에 침투하여 시스템 설정을 변경함으로써 보안프로그램에 의한 피해를 피할 수 있다.

 


이상의 내용에서 알 수 있듯 모든 종류의 맬웨어를 바이러스라고 부르는 게 보편화되긴 했지만 이는 기술적으로는 정확하지 않다. 마찬가지로 안티바이러스(antivirus) 소프트웨어라는 단어 또한 바이러스를 맬웨어 전체와의 동의어로 사용하기 때문에 나온 말이다. 안티바이러스 소프트웨어는 바이러스에 한정되지 않고 모든 종류의 맬웨어를 방지하므로 이를 보다 정확히 표기하려면 안티맬웨어(antimalware) 또는 보안(security) 소프트웨어라는 표현이 맞다.

 

 


Chris Hoffman, Not All “Viruses” Are Viruses: 10 Malware Terms Explained, 11. 4. 2013.

http://www.howtogeek.com/174985/not-all-viruses-are-viruses-10-malware-terms-explained/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.09 10:46

위로가기