[프로젝트] AI를 활용한 악성코드 분류기_트로이 목마란

프로젝트를 시작하기에 앞서 악성코드 4가지 종류를 하나씩 맡아 조사해오기로 했다.

바이러스/웜/트로이목마/스파이웨어 중 나는 트로이목마를 맡았다.

 

트로이 목마란?

트로이 전쟁 당시 그리스인들이 트로이성에 입성해 전쟁에서 승리할 때 사용.

표적이 안전하게 보호된 요새나 장소로 적을 초대하게 만드는 모든 속임수나 책략을 의미.

 

악성 컴퓨터 프로그램으로의 트로이 목마는 즉, 정상적인 프로그램 같지만 실행하면 악성코드를 실행시키는 프로그램이다. 사용자 스스로 방어망 안쪽으로 들어오도록 유도.

- 기술적인 측면이 아닌 사회공학 기법(신뢰를 기반으로 사람을 속임.)의 형태.

- 백도어로서 많이 사용됨.

- 쉽게 발견되기 힘들지만, 무거워진 CPU와 네트워크 사용으로 느려지는 현상이 나타나긴 함.

- 바이러스나 웜과 달리, 다른 파일에 삽입되거나 스스로 전파하지는 않음.

 

감염경로

- 이메일을 통해 도착(다른 사람으로 가장해;"피싱" 파일을 다운로드하도록 설득)

- 감염된 웹사이트를 방문할 때 제공.(ex.가짜 백신 프로그램으로서 팝업을 통해 감염되었으니 프로그램을 실행하여 PC를 청소하라고 지시. 사용자를 유혹)

- 다운로드된 트로이목마가 관리자 권한을 요청.

- 마이크로소프트 오피스 또는 다양한 PDF 리더에 사용되는 매크로 스크립팅 언어의 결함을 이용.

 

방어의 어려움

- 최종 사용자를 속여 씀.

- 확산시키기 쉬우며 패치, 방화벽 등의 전통적인 방어책으로 방어 불가능.

- 매월 수백만개의 트로이 목마. 벤더들이 따라잡기 힘듦.

 

유형

-침입 방법에 따라

백도어 트로이목마: 컴퓨터의 방어망에 해커가 침투할 수 있는 구멍을 뚫음.

다운로더 트로이목마: 해커 사이트에서 더 악의적인 코드를 다운로드해 컴퓨터에 대한 장악력을 더 확대
루트킷 트로이목마: 다른 공격자가 이용가능한 숨겨진 해킹 툴킷을 설치

 

-침입 목적에 따라

메일 파인더: 용자의 주소록을 훑어 스팸에 이용할 이메일 주소를 확보
DDoS 트로이목마: 컴퓨터를 탈취해 좀비화해서 다른 공격 목표에 대한 DDoS 공격에 이용

뱅킹 트로이목마: 금융 로그인 정보를 훔침

랜섬웨어 트로이목마:  파일을 암호화한 다음 복원해주는 대가로 비트코인 몸값을 요구

 

 

사례

1. 악성코드가 포함된 무료 게임이나 화면보호기를 내세워 사용자를 유혹.

2. Smoke Loader

: x86 칩 내의 스펙터(Spectre)와 멜트다운(Meltdown) 취약점이 공개되면서 모두가 충격에 빠졌을 당시 독일 정부의 공식 사이버보안 부처를 거의 똑같이 가장한 한 웹사이트가 등장해 스펙터/멜트다운 패치 다운로드 링크를 제공. 이 패치는 Smoke Loader라는 트로이 목마.

3. 이모텟(Emotet); 다운로더 트로이목마+뱅킹 트로이목마

: 악성 내장 매크로가 포함된 워드와 PDF 파일을 통해 처음 전파됐고 흔히 “your invoice”나 “payment details”와 같은 문구를 포함. 이 매크로가 실행되면 추가 코드가 다운로드된 다음 사용자 컴퓨터를 장악해 은행 계좌 정보를 검색.
4. Storm Worm

: 2000년대 초반 자극적인 제목의 이메일을 통해 빠르게 확산

5. Zeus

: 2010년 초반에 확산. 은행 로그인 정보를 훔치는 키로거 설치

6. Rakhni

: 2013년부터 퍼지기 시작. 하드 드라이브를 탐색해서 사용자의 CPU 사이클을 사용해 비트코인을 마이닝하는 트림토재킹 프로그램과 랜섬웨어 중에서 무엇을 설치할 지를 결정

7. GoldPickaxe

: SMS 메시지를 가로채고 은행 자격 증명을 캡처할 목적으로 신분 증명서를 유출. 생체 인식 로그인을 방지하기 위한 딥페이크를 생성할 목적으로 얼굴 데이터를 캡처하는 기능.