PART6. 시스템 보안 - SECTION 4. 클라이언트 보안

1. 악성 소프트웨어(악성코드)

가. 개요

나. 악성 소프트웨어의 분류

안타깝지만 요즘은 섞여있어서 종속인지 독립인지 애매함. 초창기엔 이렇게 구분 되었었음 ㅎ;;

근데 해커들이 나는 독립형으로 해야징 ^^ 하면서 만들진 않았어...

 

숙주 필요하면 종속형, 지 혼자 다니면서 새끼치면 독립형으로 나눔.

바이러스 웜 좀비는 자기복제함. 

 

바이러스는 뭐 잘 알지 코로나 ^^;; 사람이 숙주

여기서는 컴퓨터가 숙주임. 숙주가 필요하고 자기복제를 함. -> 종속형 이면서 자기복제함.

웜은 숙주 불필요하고 자기복제 가능함. .exe의 형태

좀비도 숙주 불필요하고 자기복제 가능함.

 

1) 독립형과 기생형

가) 독립형 악성코드 

나) 기생형(종속형) 악성코드

2) 자기복제 여부

가) 바이러스성 악성코드

나) 비-바이러스성 악성코드

다. 바이러스(Virus)

1) 개념

생물학적 바이러스랑 유사하고, 숙주가 필요하고 자기 복제가 가능함.

2) 컴퓨터 바이러스의 세대별 분류 -> 책마다 좀 다름 ㅎㅎ;; 시험에 출제되는 방식으로 정리했음

가) 제 1세대 - 원시형 바이러스: 초기형, 크기가 고정되어 있고 단순해서 분석 쉬움

나) 제 2세대 - 암호형 바이러스: 분석하기 쉬우니까 암호화 해 보았습니다. 근데 고도의 알고리즘은 아니라서 잘 들킴 ㅎㅎ;

라) 제 3세대 - 은폐형 바이러스: 그래서 존재를 숨겨 보았습니다. 워낙에 백신들이 좋아져서 숨었는데 찾아내..

마) 제 4세대 - 갑옷형 바이러스: 그래서 쳐맞아도 버텨 보았습니다. 죽지 않고 버티기~ 요새는 1,2,3,4 기능이 섞여 있음.

바) 제 5 세대 - 매크로 바이러스: 오피스, 한글이나 액셀에 있는 매크로 함수가 있는데, 매크로를 사용하는 프로그램의 데이터를 감염시킴.MS 오피스와 같은 응용 프로그램의 문서 파일에 삽입되어 스크립트 형태의 실행 환경을 악용함. 

사) 맺음말: 발전단계치 실질적 순서는 아님. 아무튼 애매함;

3) 매크로 바이러스

가) 개념

나) 특징

다) 매크로 바이러스가 위협적인 이유

4) 스크립트 바이러스: 각종 스크립트 언어로 작성된 바이러스

가) 스크립트 개념

나) 악성 스크립트 종류

다) 스크립트 바이러스 특징

라) mIRC 스크립트를 이용한 악성코드

윈도우에서 제공하는 메신저임. 근데 안 써봄..뭔지도 몰루....

5) 메타모픽 바이러스

프로그램을 감염시킬 때 마다 자신의 형태와 행동패턴도 바꿔서 치료하기 힘두롱..

아. 바이러스, 웜, 트로이 목마 비교

가) 바이러스: 숙주 필요

나) 웜: 숙주 안필요, 이메일을 통해 복제품을 전파

다) 트로이 목마: 전파 경로가 이용자가 직접 다운로드임. 이용자에게 악성프로그램을 정상적인 프로그램으로 보이게 속이는거임. 

 

마. 트로이 목마

1) 개념

본인들이 직접 바깥에 있는 걸 성 안으로 끌고 왔자늠.

악의적인 프로그램을 건전한 프로그램처럼 포장해서 일반 사용자들이 의심없이 다운로드하고 실행하지..

자기복제를 하진 않음. 악의적인 작업을 수행하는 정상을 가장한 프로그램.

2) 특징

3) 트로이 목마의 일반적인 기능

원격에서 내 컴퓨터가 조작 됨.

비번 가로채기 

키보드 입력 가로채기

시스템 파일 파괴...

 

성문도 열고.. 이런거지 머..

4) 대응

안티바이러스 프로그램 설치하고, 솔루션 설치하고 이상한 사이트 접속 안하고 그러는거지 뭐;

바. 트로이목마 소프트웨어 종류

1) 백오리피스

2) NetBUS

3) 키로그 소프트웨어(키로킹, 키 스트로크 로깅)

키로그는 원격에서 내가 키보드 입력하는 걸 원격에서 다 캐치하는거, 내 입력 빼가기도 함.

가) 개념

사용자의 키보드 입력을 가로채는게 목적임.

나) 종류

다) 특징

라) 키보드 해킹방지 프로그램

희희 누를 때 마다 숫자가 바뀌는 매직~ 키보드 해킹을 막는 가상키보드임.

 

가. 백도어 = 트랩도어

1) 개념

프로그램이나 손상된 시스템에 허가되지 않는 접근을 할 수 있도록 정상적인 보안 절차를 우회하는 악성 소프트웨어임.

2) 특징

정상적인 로그인을 회피함.

일정의 트로이 목마임. 

3) 백도어와 트로이 목마와의 차이점

4) 백도어 공격 종류

5) 백도어 탐지방법

가) 현재 동작중인 프로세스 확인 

백도어들이 자원을 잡아먹음 -> CPU 점유율 보기

나) 바이러스 백도어 탐지 툴 이용

백신 툴에서도 잡힘 ㅎ;

다) 열린 포트 확인

열린 포트 찾아서 방법도 있고, 

라) SetUID 파일 검사

setuid나 setgid가 있으면 안됨.

setuid는 제 3자에게 무조건 유저의 권한을 주는 함수임

마) 무결성 검사

바) 로그 분석

아. 기타 시스템 보안위협

1) 루트킷

해커들의 도구모음임. 아이고 친절해;;

해킹에 사용되는 기능들을 제공하는 프로그램의 모음

악성프로그램도 복잡한게 인터넷도 되어야하고 기본적인 관리적 화면도 필요하고요, 로그도 있어야하고 세션도 지가 설정행햐하는데 이게 오래 걸리니까 루트킷으로 셋팅해야지

가) 개념

2) 안티루트킷

가) 개념

악성 코드 방지 기술

숨김파일 찾기, 수정된 레지스트리 찾기, 보호 해제된 프로세스 탐지 

나) 안티 루트킷의 종류

GMER 등이 있음 

3) 봇: 원격에서 실행되는 악성 프로그램 -> 서비스를 못하게 함. 다량의 트래픽을 만들어서 서비스를 못하게 하는 디도스가 그러함. 

4) 봇넷 = 봇네트

가) 개념

나) 봇넷 피해방지 방안

5) 오토런 바이러스

6) 악성코드를 운반하는 페이로드의 네가지 분류와 예

자. 기타 악성 소프트 웨어

1) 논리폭탄

2) 애드웨어: 프로그램이 공짜야 -> 근데 광고봐야함

3) 크라임웨어온라인상에서 해당 소프트웨어를 실행하는 사용자가 알지 못하게 불법적인 행동 및 동작을 하도록 만들어진 프로그램. 

4) 스파이웨어: 원격에서 사용자 동의 없이 중요 정보를 외부로 유출함. -> 트로이 목마와는 다르게 그냥 정보만 수집함

가) 개념

나) 스파이웨어 주요 증상

정보를 쉽게 빼내기 위해 내 컴퓨터의 보안 설정을 최하로 지가 바꿈

5) 스래머웜

6) 코드레드: IIS를 구동하고 있는 윈도 서버급만 감염이 되며 IIS서버의 버퍼오버플로우 취약점을 이용함 

IIS 서버: 웹서버로 아파치같은거

 

2. 다양한 웹 공격 방법

가. 랜섬웨어: 

나. XSS: 웹 어플리케이션의 데이터를 악성 스크립트 코드로 변조하는 공격 

다. 스턱스넷: 군사적 수준의 사이버 무기, SCADA 시스템 공격이 목표임

전력시스템을 원격에서 제어하는 네트워크 SCADA

라. 핵티비즘 공격

라. 리버스 엔지니어링(역공학)

가) 개념

분석해서 원래 소스를 알아내는 것, 실물로부터 개념을 얻어내는 과정임

예를들어 자동차 한 대를 수입해서 그걸 분해해서 설계, 변속기가 어케 되어있나 분석하는 등 

나) 리버스 엔지리어링을 이용한 공격

다) 대응 방법

바. 웹셀

가) 개념

서버의 명령을 실행해서 관리자 권한을 획득해서 행하는 공격

나) 웹셀을 통한 해킹 방지 방법

사. 워터링 홀: 물 웅덩이 

1) 개념

사바나 같은데어 어쩔 수 없이 물을 먹기 위해 물 웅덩이로 와야하는데 그때 사자가 기다리다 공격함 

워터링홀은 가장 많이 쓰이는 웹사이트를 감염시키고 잠복하며 피해자를 노림

2) 특징

아. 비트플립핑 공격

가) 개념

하드웨어 자체에 발견된 버그를 악용 

나) 공격 방법

팁.

1. 난독화

2. 코드 난독화

3. 샌드박스: 샌드박스 내 모래들은 멸균처리된 모래고 여기서 놀아 하는거임. 응용프로그램이 일종의 가상머신 내에서 실행되는 것처럼 완전히 독립되어 실행되는 형태로 애플리케이션 호스트 시스템에 해를 끼치지 않고 작동하는 것이 허락된 보호받는 제한 구역을 가리킴.

자. 다크 웹: 어둠의 웹사이트, 일반적인 웹 브라우저도 못들어가고 전용 웹 브라우저로 들어가야하고 주로 사이버 범죄가 일어나는 환경임 

 

3. 인터넷 활용 보안

가. 쿠키

1) 개념

2) 쿠키의 특징

웹사이트에 자동로그인할 수 있는 건 쿠키를 이용하기 때문임. 쿠키에 내 비번을 넣고 딱 접속하면 자동으로 로그인하게 함. 

3) 쿠키의 용도

가) 개념

별도의 로그인 절차없이 사이트에 빠르게 접속할 ㅜㅅ 있게 해줌

당연히 쿠키정보는 내 pc에 쌓임. 

나) 쿠키의 용도

4) 쿠키를 이용한 통신

5) 쿠키 세션 위조 공격 방지 방법

 

나. 쿠키 스니핑

1) 개념

그 쿠키 정보를 가로채는 것임.

2) 쿠키 스니핑 위험성

3) 대응 방안

가) 일반적인 쿠키 정보의 획득과 대응 방안

나) 쿠키 정보 유추에 대한 취약성

다. 인터넷 익스플로러 인터넷 옵션

사용할 디스크 공간을 조절할 수 있음

 

4. 애플리케이션 보안

가. 액티브

가) 개요

나) 액티브 x 

내 pc에 뭔가 막 깔리는 것.  뭐가 내 컴퓨터에 프로그램이 막 깔리는데 이게 악성인지 아닌지 사용자는 잘 모름.

특정 사이트에 접속하면 뭐가 막 내 피시에 깔리.ㅁ 찜찜한거 같은거지.  액티브x는 특정 사이트의 기능을 이용하기 위한 프로그램을 설치하는 플러그인(PNP)의 일종임

다) 호환선 측면의 부작용

라) 보안상의 문제점

나. 자바스크립트

 

5. 기타

가. 애플릿

작은 독립된 프로그램

나. DOI: 

다. OLE

라. 임시파일: TEMP

마. 세션: 연결이 활성화 된 상태

바. 프록시: 프록시 = 뭔가를 대응하다. 

웹서버와 사용자들이 몰려있음. 물리적인 거리가 멂. 그럼 통신사에서 프록시를 사용자 근처로 옮김. 그럼 백본망의 부하는 줄고, 물리적인 거리가 줄어드니까 속도는 빨라짐. 속도를 빨리하기 위해 서버까지 오고가지 않아도 되어서 캐시 기능도 있음 

사. 퍼징: 임의로 데이터를 발생시켜서 프로그램 검사할 때 제대로 돌아가는지 체크함.