목록2021/03/01 (5)
R136A1
초기분석 따로 실행하지 않고 파일의 외형이나 간단히 들여다 볼 수 있는 정보를 이용하여 악성코드의 동작 방식을 유추한다. - Virustotal을 이용한 정적 속성 분석 - 패킹 여부 확인 - 언패킹 이후, 문자열 확인 동적분석 악성코드를 분석환경에서 실행시킨 직후부터 순간순간의 시스템 변화를 분석하는 단계 네트워크, 프로세스, 파일시스템, 레지스트리 조작 행위 등 네트워크 행위 외부 시스템과의 통신 여부 [Wireshark, TCPview] 프로세스 행위 추가로 생성하는 프로세스 존재 여부 프로세스 자가 종료 여부 [Process Explorer] 주요 프로세스 확인 → 사용자 관련 프로세스 확인(explorer.exe 하위) →의심 프로세스 정보 확인(Description, Company Name, ..
감염경로 웹페이지, 이메일, 파일 공유 사이트에서 일반 프로그램으로 가장함 가장 인기있는 유형: 가짜 백신 프로그램(팝업을 통해 감염되었으니 프로그램을 실행하여 치료하라고 지시) 승인받은 프로그램에 악의적인 코드를 삽입하여 정상적인 동작과는 다르게 실행방법 정상 프로그램으로 위장하여 사용자의 클릭을 기다림 또는 프로그램 내에 트로이목마 프로그램이 숨겨져 있음 한 번 실행된 트로이목마는 컴퓨터 부팅 시 자동으로 동작하도록 레지스트리를 변경한다 ※ 하지만 누가 보아도 비정상적으로 보이면서 웜, 바이러스, PUP가 아닌 경우 이러한 정의에서 벗어난다. 따라서 이에 대해 다시 정의하자면 - 바이러스와 같이 다른 파일을 변조하지 않고, - 웜과 같이 네트워크를 통한 전파나 자가 복제가 이루어지지 않으며, - PU..
PUP의 경우 사용자의 동의가 포함되었기에 따로 분류됨 *체크 항목이 분명히 나와 있지만, 충분히 사용자가 놓칠 수 있다. 이와 같이 PUP는 약관이 존재하며 사용자에게 동의까지 받지만, 이 동의가 결코 자의적으로 행해진 것은 아니다. 로그인할 때마다 광고하고자 하는 웹 사이트의 바로가기를 바탕화면에 생성하거나, 웹 브라우저의 기본 페이지를 변경, 웹 페이지 접속 시 특정 광고가 지속적으로 노출되는 등 의 행위로 PC나 인터넷 접속이 느려지는 등 사용자에게 불편함을 준다. 사용자에게 불편함만을 주기 때문에 어찌 보면 악성코드로 부르기 모호한 점이 있다고 느낄 수 있다. 하지만 2014년 조사 결과에 따르면 전체 악성코드 감염의 24.77%가 PUP라는 점과 대부분 광고가 목적이다 보니 허술한 보안 관리로..
감염경로 이메일, P2P파일 공유, 프로그램 보안 취약점, 네트워크 공유 기능... 실행방법 독자적으로 실행 특징 독자적으로 실행 가능: 자기 자신을 레지스트리에 등록하거나 복사본을 생성함 (자기복제) 운영체제나 응용 프로그램의 취약점을 통해 연결된 네트워크로 전이하는 형태로 진행하여 가능한 많은 다른 컴퓨터를 감염시킨다. c.f) 바이러스: 숙주 파일에 기생 / 다른 파일 감염 시스템의 데이터나 운영체제를 파괴하고, 자신을 무제한으로 복제하여 네트워크에 배포함으로써 시스템과 네트워크를 마비시킴 종류 시스템 공격형 운영체제 고유의 취약점을 이용해 ①내부 정보를 파괴함 ②컴퓨터 시스템을 파괴해 사용할 수 없게 함 ③백도어 설치 등 네트워크 공격형 웜에 의해 감염된 시스템들(PC 클러스터)을 이용해 특정 시..
전체 악성코드의 10%가 되지 않음 감염 경로 이메일, USB, 다운로드 실행 방법 실행 가능한 파일이나 시스템에 코드가 복제되어 기생하다 숙주 파일 실행 시 활동하여 그 코드 내용으로 인해 다른 파일 감염시키고 컴퓨터에 악의적인 피해를 입힘 특징 정상적인 프로그램을 숙주로 삼기때문에 탐지 및 치료하기가 어렵다 컴퓨터 바이러스의 경우 대상이 된 모든 파일의 구조가 바이러스가 의도한 대로 변조되었기 때문에, 이를 '치료'한다. 단, 최초 감염을 실행한 숙주 파일의 경우 '제거'되는 것이 맞다. 감염대상 일반 파일, 하드디스크 파티션의 VBR과 MBR, ... 특히 MBR이 감염될 경우 MBR을 직접 복구하거나 OS를 다시 설치해야 함(서버의 경우 피해액 더욱 커짐) 악성 행위 CPU사용, 메모리 점유, 데..