트로이목마(Trojan horse)

감염경로

웹페이지, 이메일, 파일 공유 사이트에서 일반 프로그램으로 가장함

가장 인기있는 유형: 가짜 백신 프로그램(팝업을 통해 감염되었으니 프로그램을 실행하여 치료하라고 지시)

 

승인받은 프로그램에 악의적인 코드를 삽입하여 정상적인 동작과는 다르게

실행방법

정상 프로그램으로 위장하여 사용자의 클릭을 기다림

또는 프로그램 내에 트로이목마 프로그램이 숨겨져 있음

 

한 번 실행된 트로이목마는 컴퓨터 부팅 시 자동으로 동작하도록 레지스트리를 변경한다

 

※ 하지만 누가 보아도 비정상적으로 보이면서 웜, 바이러스, PUP가 아닌 경우 이러한 정의에서 벗어난다.

따라서 이에 대해 다시 정의하자면

- 바이러스와 같이 다른 파일을 변조하지 않고,

- 웜과 같이 네트워크를 통한 전파나 자가 복제가 이루어지지 않으며,

- PUP와 같이 사용자의 동의가 이루어지지 않았을 때 'Trojan'으로 분류해야 한다.

 

바이러스나 웜 또한 최초 실행되고자 할 때는 정상적인 파일처럼 보여 사용자가 실행되게끔 할 수 있다.

이러한 점을 고려했을 때,

 

어떠한 동작을 하는지 모르는 프로그램이 있는데 위 세 가지에 해당이 되지 않을 경우

트로이 목마라 하는 것이 더욱 정확하다고 본다. ※

특징

숙주 사용 X 자기 복제 기능 X 증식 능력 X → 원본 악성 파일만 삭제하면 치료 가능

 

주로 지속적인 정보유출 및 제어권 획득이 목적으로

컴퓨터 사용자가 트로이 목마의 침투 및 활동을 인식하지 못하도록 설계되어 있음

 

방어하기 어려운 이유

1. 최종 사용자를 속여서 그 권한을 악용함

2. 확산시키기 쉬움

3. 패치, 방화벽 등의 전통적인 방어책으로는 방어가 불가능함(취약점을 이용하는 '웜'은 패치로 방어 가능)

 

다른 파일을 감염하지는 않고 스스로 피해를 유발함.

 

클라이언트 프로그램과 서버 프로그램

클라이언트 프로그램

원격에서 공격대상 시스템을 조종

서버 프로그램

공격 대상 시스템에 위치함 (주로 윈도우가 사용하는 디렉토리)

explorer.exe와 같이 시스템이 사용하는 파일처럼 위장

 

서버 파일이 설치된 후 외부에 있는 클라이언트가 접속할 특정 포트 오픈

레지스트리 OR system.ini OR autoexec.bat 을 사용하여 감염된 시스템이 리부팅할 때

서버 프로그램도 재실행되도록 설정

 

바이러스 / 웜 / 트로이목마 비교