[정보보안기사 필기] 클라이언트 보안 (바이러스, 백신, 레지스트리)

ㅇ 바이러스와 백신

악성코드 : 제작자가 의도적으로 다른 사람에게 피해를 주기 위해 만든 모든 악의적인 프로그램, 매크로, 스크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 상태

ㅇ컴퓨터 바이러스 

개념 : 이론적인 정의로는 자신 또는 자신의 변형을 컴퓨터 프로그램이나 매크로, 스크립트 등 실행 가능한 부분에 복제하는 명령어들의 조합으로 정의되며, 실제적으로는 사용자 몰래 다른 곳에 자기 자신을 복제하는 프로그램, 악성 프로그램으로 통합되는 추세이다.

- 종류

부트 바이러스 : 부트 영역에 감염되는 바이러스(하드디스크) 감염 후 윈도우 환경에서는 치료가 어려움. 부팅필요하다 Brain, Michelangelo, Monkey, Anti-CMOS, WYX 바이러스등이 있다.

파일 바이러스 : 일반적으로 실행 가능한 프로그램 파일에 감염되는 바이러스이며 윈도우에서는 다양한 형태의 실행 파일이 존재하여 다양한 형태의 파일에 감염된다. 도스용 파일, 윈도우용 파일, 매크로 바이러스등이 있다.

부트/파일 바이러스 : 부트 영역 및 파일에 모두 감염되는 바이러스. 나타스, 절반, 침입자, 테킬라 바이러스 등이 있다.

매크로 바이러스 : 응용 프로그램에서 지원하는 매크로 기능을 이용해서 자신을 복제하는 능력을 가진 바이러스

트로이목마 : 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다. 트로이목마가 설치되면 특정한 환경이나 조건 혹은 배포자의 의도에 따라 사용자의 정보유출이나 자료파괴 같은 피해(원격조정, 패스워드 및 키보드입력 가로채기, 시스템 파일 파괴)를 입을 수 있다.  Netbus, Back Orifice등이 있다.

ㅇ 인터넷웜 

개념 :  네트워크/전자메일을 통해 자신을 복제하는 악성 프로그램으로 인터넷웜이라고도 한다.

전파방법 : 전자메일 첨부파일, 네트워크 쓰기 권한 악용, 서비스 취약점 이용

종류 : I-Worm/ Happy99, Hybris, Naked, Navidad, ExploreZip, Wininit와 sql 슬래머 

ㅇ 메일폭탄

개념 : 상대방에게 피해를 줄 목적으로 특정한 사람이나 시스템을 대상으로 다량의 전자 우편을 일시에 보내 해당 사이트의 컴퓨터 시스템에 고장을 일으키는 기술

ㅇ Joke & Hoax/Myh

- Joke : 사용자에게 바이러스와 유사한 증상으로 놀라게 하는 프로그램, Delete_game, Format_Game, Cokegift, Puzzle등 이 있음

- Hoax/Myth : 컴퓨터 바이러스로 잘못 알려진 일종의 스팸 메일 부작용 -> 보안의식 저하, GoodTimes Virus, Join the crew, Sulfbnk.exe 등

ㅇ 악성스크립트 : 스크립트 기능을 이용해 제작한 악성프로그램, 배치파일, MIRC 스크립트, VBS JS 등이 있다.

ㅇ 스파이웨어 : 개인정보 일부를 SW 개발자가 알 수 있도록 제작한 프로그램

ㅇ 바이러스 명명법 : I-Worm.Win32.Scold.,28160 -> 형태(Type).플랫폼(OS).이름(NAME). 크기(SIZE), 변형정도

ㅇ 레지스트리 활용

개념 : 윈도 95, 98 NT 시스템에서 사용하는 시스템 구성 정보를 저장한 데이터베이스이며, 윈도우 환경과 프로그램에 관련된 사항 등이 저장된 system.day, user.dat 파일이 바로 레지스트리이다. 윈도우와 프로그램에 관련된 사항은 레지스트리 외에도 win.ini, system.ini 파일을 비롯한 각종 INI 파일에도 저장되어 있으며 16비트 프로그램을 위하 ㄴ여러 개의 INI 파일이 존재하긴 하지만 윈도우의 표준을 지키는 32비트 프로그램에 관련된 설정값은 모두 WINDOWS 디렉토리에 있는 레지스트리 파일에 저장된다. 레지스트리는 텍스트가 아닌 16진수로 되어 있어 INI 파일보다 속도가 빠르고 레지스트리편집기(regedit.exe)를 이용하여 설정한다. 모든 프로그램 설정이 하나의 레지스트리에 저장되어 관리가 용이하다. 레지스트리 백업 및 복구는 편집메뉴에서 백업 및 복원을 실행한다.

종류

HKEY_CLASSES_ROOT : 파일의 각 확장자에 대한 정보와 파일과 프로그램간의 연결에 대한 정보가 들어있다.

   HKEY_CURRENT_USER : 윈도우가 설치된 컴퓨터 환경설정에 대한 정보가 들어있다.

   HKEY_LOCAL_MACHINE : 설치된 하드웨어와 소프트웨어 설치드라이버 설정에 대한 정보가 들어있다.

   HKEY_USERS : 데스크탑설정과 네트워크환경에 대한 정보가 들어있다.

   HKEY_CURRENT_CONFIG : 디스플레이와 프린터에 관한 정보가 들어있다.

   관련파일

   윈도우에서는 레지스트리 정보는 \windows or \winnt 폴더에 USER.DAT, SYSTEM.DAT라는 파일로 저장된다 윈도우의 모든 시스템정보를 백업 및 복구하기 위해서는  USER.DAT, SYSTEM.DAT, SYSTEM.INI, WIN.INI가 있어야 한다.

   트로이목마 제거방법 

   - 트로이 목마 서버 S/W가 설치되는 컴퓨터는 공격대상이 되어 중요한 정보가 공격자에게 전달된다. 공격대상 컴퓨터에 설치시 재시작시에 트로이목마 서버 S/W가 자동으로 실행하도록 설정하는 것이 특징이다. 레지스트리에서 검색하여 탐지 및 제거할 수 있다.

   - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\NetBus Server 을 찾기하여 레지스트리 탐지가 가능하다.  NTRootkit, BAGLE은 레지스트리를 자동실행 등록을 한다.