[보안] 07. 악성코드 유입 경로 - 클릭 사기, Weak Point, Lateral Movement, Modificaition Attack, Kooface 악성코드

 

A. 악성코드 주요 유입 경로

 

 

악성코드 주요 유입 경로

 

 

 

반응형

B. 실제 악용된 사례 분석

 

 

1) 사회 공학적 기법

- 클릭 사기 ( Click Fraud )

 

-> 사용자가 필요한 형태로 악성코드를 위장

-> 윈도우 제품 인증 프로그램

-> 엔터테인먼트 형태를 위장한 파일 또는 설치 프로그램

-> 대부분 사용자가 직접 다운로드하고 실행

 

 

2) 직접 침투 ( Direct Penetration )

- 해커가 직접 대상이 되는 시스템에 침투하여 악성코드 설치

 

- Weak Point

-> 접근 제어 실패, 아이디 패스워드 관리 등 취약점을 이용하여 접근

-> 백도어 설치와 같은 추가 악성코드 감염이 필요 없음

-> Miral 악성코드 감염 경로 - DDos에 사용될 봇넷

 

- Vulnerability

-> 최근 내부 직원 PC의 제어를 통한 내부망 서버에 악성코드 감염

-> 대부분 지속적인 접근 용이성을 위해 백도어 계열 설치

-> 인터넷 서비스 업체, 게임 업체, 기타 대형 IT 업체

 

- 레터럴 무브먼트 ( Lateral Movement )

-> 연결된 네트워크 망에서 서로 다른 PC로 이동하기 위한 공격 기술

-> 키로깅, 스니핑 패킷, 패스워드 덤프, 샘 크래킹, 패스 더 해시, 패스 더 패스

-> 최초 감염 이후 2차 3차 악성코드 감염 및 최종 공격 목적지까지 이동할 때 주로 사용

 

 

3) 변조 공격 ( Modificaition Attack )

- P2P 또는 웹 하드에서 많이 발견

- 소프트웨어 제조사를 해킹해 소스코를 수정하거나 미리 악성 DLL을 인젝션하여 운영

 

- 콘텐츠 다운로드를 위한 소프트웨어 설치와 함께 감염

-> 3.3 DDoS에 사용된 좀비 PC 생산을 위해 사용

-> 농협 전산망 사건의 내부 직원이 감염된 방식

 

- 최근 정보 통신 기반 시설 혹은 SCADA 망을 대상으로 APT 공격에 자주 사용됨

-> 납품하는 제품의 펌웨어의 소스코드에 악성 행위를 포함하는 코드로 변조

-> 펌웨어가 변조된 제품이 납품되면 악성행위를 진행

-> 장기간 상주하다가 우연히 인터넷이 연결되는 순간 수집한 데이터 전송

 

- 훼손된 패치 업데이트

-> 업데이트 서버를 해킹하여 변조, 업데이트하는 파일을 악성코드로 변경

-> 네이트 개인정보 유출 때 이스트소프트 알집 소프트웨어 업데이트 서버 이용하여 악성코드 유포

-> 3.20 전산 대란 때 내부망에 사용되는 PMS를 해킹하여 안티바이러스 제품 업데이트 시 내부망 전체 감염

 

훼손된 패치 업데이트

 

반응형

4) 소셜 네트워크 서비스 ( SNS )

- SNS에 자극적인 소재의 내용과 함께 악성 링크를 공유

- 단축 URL 기법을 이용하여 사이트 주소를 숨김

-> 단축 URL(예시) : https://goo.gle.com/xxxxxx

-> 대표적인 사례 - Kooface 악성코드

 

Kooface 악성코드

 

---

 

[보안] 01. 악성코드 정의, 악성코드 종류, 감염 위치, 네이밍 스키마

[보안] 01. 악성코드 정의, 악성코드 종류, 감염 위치, 네이밍 스키마

 

[보안] 03. 악성코드 대유형 - 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), PUP(Potentially Unwanted Program)

[보안] 03. 악성코드 대유형 - 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), PUP(Potentially Unwanted Program)

 

[CCNA] RIP & EIGRP - 개요, 구성, 특징, 검증, 명령어

[CCNA] RIP & EIGRP - 개요, 구성, 특징, 검증, 명령어