악성코드(Malware)유형 및 분석 유형

* Malware : 컴퓨터에서 악성 행위를 위해 개발된 모든 소프트웨어

 

 

 

* 악성코드 분류

명칭	분류 내용
Downloader	* 악성코드에서 지정한 외부 주소에 접속, 추가 악성코드를 다운로드 및 실행시키는 악성코드 - 다운로드 행위가 차단되지 않는 이상, 백신 프로그램을 우회 할 수 있음
Dropper	* 외부가 아닌, 자신의 내부에 포함되어 있는 데이터를 이용하여 악성코드를 추가적으로 생성 - 통상 드롭되는 악성코드는 압축/암호화 되어 있어 백신을 통한 탐지가 어려움 * Injector : 드롭퍼의 특수 형태로 파일 생성 없이, 자신의 데이터로 프로세스를 생성하여 메모리에 상주시키는 형태
Keylogger	* 키보드로 입력되는 메세지를 중간에서 가로채서 기록하는 형태의 악성코드
Backdoor	* 감염된 사용자 PC에 특정 포트를 열어두어, 정상 인증과정 없이 원격 접속을 통해 제어할 수 있게 하는 악성코드
Trojan horse	* 정상 소프트웨어의 형태로 가장하여 실행 시, 악성 행위를 수행
Ransomeware	* 사용자 파일을 암호화 시켜, 일정 시간 내 금전적 요구를 하는 악성코드
Adware	* 상업용 광고 목적으로 생성 되었으나, 웹 브라우저 시작 페이지 변경, BHO(Browser Helper Object) 객체를 이용한 팝업 윈도우 생성 등의 동작을 수행 * BHO : 플러그인 형태로되어, IE 브라우저에서 지원하지 못하는 기능을 지원하는 DLL 모듈 - IE에서 "추가 기능 관리"를 통해 설치 내역 확인 가능
Spyware	* 사용자 PC에 사전 동의 없이 설치되어, 정보를 수집하는 악성코드
Virus	* 정상 파일이나 시스템 영역에 침범, 자신의 코드를 삽입하거나 설치하는 감염성 프로그램 - 감염 방법/동작 원리에 따라 메모리 상주형 / 파일 바이러스 / 덮어쓰기 / 은폐형 등으로 나뉨
Worm	* 감염이 목적이 아닌, 자신을 레지스트리에 등록하거나, 복사본을 생성하여 전파하는 등 독자적으로 실행되어 유포되는 악성코드 - 이메일, P2P 파일 공유, 네트워크 공유 등을 기반으로 증식, 빠르게 확산됨
Rootkit	* 커널, 부트로더, 펌웨어, 라이브러리 등의 위치에서 설치/동작되어 프로세스나 파일 등의 악성 행위를 은닉하는 악성코드
Bootkit	* PC 부팅영역인 MBR(Master Boot Record)를 조작하는 악성 프로그램 - 파괴형 부트킷 : MBR과 VBR(Volumn Boot Record)를 의미 없는 문자열 등으로 덮어 씌워 정상 부팅을 할 수 없게 만듬 - 은신형 부트킷 : VBR의 빈 영역에 악성 코드르 설치, 백신이 탐지하지 못하도록 하는 형태

 

 

 

* 악성코드 분석 방식

분석 방식	내용
Static Analysis (정적 분석)	* 디버거, 디스어셈블러 등을 이용하여 실제 악성 코드를 직접 실행하지 않고, 디버깅 및 코드를 분석하는 방식 - Control Flow(제어 흐름), Data Flow(데이터 흐름)을 통해 악성 행위를 분석
Dynamic Analysis (동적 분석)	* 제한된 실행 환경 내에서 악성코드를 직접 실행, 동작 과정 및 시스템 내에서의 행위를 모니터링하여 분석 - 파일 접근, 레지스트리 접근, 프로세스 접근, 네트워크 이용 등에 대한 분석