constWORLDant

강의 준비 본문

0x06 Malware

강의 준비

data type ConS_tanT 2017.12.08 02:25


트로이목마 : 복제 없이, 일반 어플리케이션 처럼 동작 

하지만, 감염 되면 백도어를 이용하여 정보 탈취 


논리폭탄 : logic bomb 

특별한 이벤트가 발생할 때 까지 기다렸다가 동작하는 코드

(ex 3.20 DDOS)


루트킷 : 루트의 권한을 획득 (본래는 개발자가 테스트 용도로 많이 사용하거나

개발자가 프로그램에 장난을 칠 때 사용)


트랩도어

프로그래머가 시스템에 접근할 목적으로 고의로 삽입해두는 코드인데 

반드시 프로그래머는 테스트가 끝나고 배포될 때 제거를 해야한다

 

매크로

자동화 스크립트 (주로 스프레드시트, 워드프로세서)


스파이웨어

인터넷에서 몰래 설치되는 소프트웨어 

키로그, 인터넷 사용이력, 하드디스크 파일, 레지스트리 정보 탈취 가능 

일부는 암호나 금융정보도 탈취


메타모픽 바이러스

안티바이러스 소프트웨어를 우회하기 위해 감염될 때 마다 스스로를 변형 시킨다.


폴리모픽 바이러스

감염 시 스스로 변형시키는것은 메타모틱과 비슷하지만

폴리모픽은 암호화된 형태로 파일과 프로그램을 감염시킨다. 

동작할 때 암호가 풀려버리는 특징이 있음


변형 키 암호화

폴리모픽 처럼 암호화 모듈을 가짐 

하지만, 바이러스 전체가 암호화 + 암호키가 변경된다. 

암호 키를 이용해 바이러스의 암호를 풀어 새로운 호스트 감염 

-> 바이러스 감염 될 때마다 암호키는 변경 됨 

즉, 암호를 푸는 패스워드는 매번 바뀌게 됨 ..


자바 애플릿

원래는 웹 페이지에서 동작하는 프로그램으로 웹 사이트에 주로 사용 됨

하지만, 액티브 서버페이지나 윈도우 스크립트 호스트와 함께 사용하면 

컴퓨터 자원(파일 시스템, 레지스트리)에 제한 없이 접근이 가능


푸시 컨텐츠

푸시 기술을 이용하면 컨텐츠를 컴퓨터에 자동으로 공급할 수 있음

프로그램 제공업자의 부주의가 일어나면 악성코드가 배포될 위험이 있음



USB 공격

: 호스트에 이동식 저장 장치를 삽입하는 공격

-> USB 내부의 autorun을 이용한다


CD/DVD가 컴퓨터에 삽입되었을 때 autorun.inf 파일이 있으면 

자동실행이 수행되게 된다. 

이 파일은 디스크의 최상위 디렉터리에 위치하며, 이를 통해 여러 옵션을 제공 할 수 있다.

윈도우의 자동 실행 옵션이 "켜져있을 때만" 윈도우 탐색기가 autorun.inf 파일을 읽어

자동 실행을 수행할 수 있다.


이동식 저장 장치가 삽입되거나 제거될 때 현재 실행중인 모든 애플리케이션에 WM_DEVICECHANGE

메시지가 전달되게 된다.

이 메시지는 화면상의 최상위 애플리케이션부터 가장 아래에 있는 애플리케이션까지 순차적으로 

모두 전달된다.

최상위 애플리케이션이 제일 먼저 메시지를 수신하고 나머지 애플리케이션들도 차례대로 

메시지를 수신하게 된다는 뜻



auturun 예제

UseAutoPlay=1 #자동 실행 메뉴 기능 활성화

ShellExecute = 경로 # 실행 파일 지정 

Shell\open\command=reallycool.exe # 멀웨어 경로 

Icon=foldername\~~~ 

Label=클릭해보세요 # 드라이브 이름 

Action=프로그램을 실행하면 컴퓨터 속도가 빨라집니다 # 우측 버튼 추가 글 씨 오호...



윈도우 XP에서 가능한 작업


USB 드라이버 더이상 컴퓨터에 설치 안되게 하는 방법 (백도어방지)


1. 내 컴퓨터 , 탐색기 열어 -> %SystemRoot%Inf 

c:\Windows\Inf


2. usbstor.pnf -> 속성


3. 보안 -> 그룹 또는 사용자 이름 (편집) -> 추가 


4. USB 장치 사용을 금지하고자 하는 사용자, 그룹 입력


5. 그룹 또는 사용자 이름 영역에서 새로 추가한 항목을 선택하고 

사용권한 영역에서 모든 권한 거부 체크 


6. 그룹 또는 사용자 이름 영역에서 SYSTEM 계정을 선택하고 앞에서처럼 모든 권한을 거부하게 체크


혹은

CMD에서

cacls c:\windows\inf\usbstor.inf 


calcs.exe : 현재의 ACL(Access Control List)을 편집할 수 있다.


ACL을 완전히 바꾸려면 /e 스위치 값 없이 실행하면 되고 

/e을 이용하면 파일의 권한을 편집할 수 있다.


ex)

cacls c:\windows\inf\usbstor.inf /e /p system.in

cacls c:\windows\inf\usbstor.pnf /e /p 'UserOrGroupNameHere" :n







'0x06 Malware' 카테고리의 다른 글

[issue] 페이스북 video_xxx.zip  (0) 2017.12.18
Social Engineering에 대한 생각..  (2) 2017.12.08
강의 준비  (0) 2017.12.08
기초 공부중  (0) 2017.12.04
기초 공부 중  (0) 2017.12.04
기초공부 중  (0) 2017.12.03
0 Comments
댓글쓰기 폼