악성 루틴이 숨어 있는, 트로이 목마(Trojan horse) 바이러스


    트로이목마 바이러스가 뭔지는 몰라도 대다수의 사람들은 트로이목마라는 것을 매우 잘 알고 있을 것이다. 빵형 브레드피트가 아킬레우스로 열연한 트로이(Troy)라는 영화에서도 상황이 매우 잘 묘사되기도 하며, 이 영화를 보지 않아도 그리스가 트로이를 함락 시키기 위해서 목마를 이용한 것을 알 것이다.


    트로이를 공략하기 위해서 그리스는 10년동안 공격을 했지만 견고한 트로이는 함락 되지 않았고, 결국 목마안에 그리스 정예 군인 30명을 매복시켜 목마안에 있던 그리스 군인들로 인해서 트로이가 함락 된다. 이처럼 외부의 어떤 공격에도 흔들리지 않았던 트로이가 고작 30명의 그리스 군인으로 인해서 성문이 열리게 되고, 최종적으로 그리스에게 함락된 트로이 목마 일화는 견고한 방화벽을 뚫고 진입한 악성코드에 무력하게 무너지는 컴퓨터 모습과 동일하기에 트로이 목마와 같은 역할을 하는 악성 코드를 트로이목마 바이러스, 정확히는 트로이목마 악성코드라고 불린다.





    트로이목마의 개념 및 특징

    트로이 목마의 개념

    - 악성 루틴이 숨어 있는 프로그램으로, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행 한다



    트로이 목마의 특징

    - 정보유출 및 제어권 획득이 목적이므로 컴퓨터 사용자가 트로이목마의 침투 및 활동을 인식하지 못하도록 설계

    - 트로이 목마는 바이러스(Virus)와 같이 복제 기능이 없으며 웜(Worm)과 같이 증식 능력이 없는 악성 프로그램이다

    - 자신을 복사하지 않고, 다른 파일을 감염시키지 않으므로 트로이목마 역할을 하는 파일만 삭제하면 치료가 가능




    감염경로


    P2P 사이트

    - 일반적인 유틸리티 프로그램이나 게임, 스크린 화면 등으로 가장하여 다운로드를 권장하며 사용자가 다운로드 받은 프로그램 내에 트로이목마가 프로그램 내에 숨겨져 있음

    - 사용자는 해당 다운 받은 프로그램을 실행하면 트로이목마도 같이 실행이 된다

    - 한번 실행된 트로이목마는 레지스트리를 변경하여 재부팅하여도 자동으로 동작이 된다


    e-mail

    트로이 목마의 주요 감염 경로는 이메일의 첨부파일이 상당수를 차지한다. 

    첨부파일의 확장자가 exe, com 등과 같이 실행이 가능한 파일이 왔을 경우 반드시 의심을 해봐야 하며, 특정 은행이나 휴대폰 사용 명세서 등과 같이 실행을 해야 하는 이메일로 위장하여 트로이 목마 실행을 유도하는 메일도 존재한다.



    공격 방법

    - 트로이 목마의 자체적인 목적은 백도어(a.k.a 개구멍)를 열어두는 것이다. 즉, 해커는 트로이 목마에 감염된 컴퓨터를 내 집 드나들 듯 마음껏 접근이 가능하여 원하는 모든 공격을 실행할 수 있게 된다.


    대표적으로 랜섬웨어를 설치하거나, 컴퓨터의 파일을 변경하고 암호화폐 채굴을 위한 마이닝 프로그램을 설치하기도 하며 키로거(Keylogger)를 이용하여 사용자의 신원 정보나 카드 번호와 같은 민감한 정보를 탈취하기도 한다.


    source, https://www.cryptowisser.com/crypto-mining-malware/



    트로이목마 사례

    넷버스 (Netbus) 

    : 12345번의 포트를 사용하며 가장 사용하기 쉽고 퍼지기 쉬운 트로이목마




    백오리피스(Back Orifice)

    : 31337번의 포트를 사용하며 가장 유명하고 제거 툴이 많은 트로이목마




    스트라이커 (Striker)

    : 2565번 포트를 사용하며 감염된 컴퓨터를 망가뜨려(ex: 하드디스크) 부팅이 안되게 하는 트로이 목마



    참고자료

    https://ko.wikipedia.org/wiki/%ED%8A%B8%EB%A1%9C%EC%9D%B4_%EB%AA%A9%EB%A7%88_(%EC%BB%B4%ED%93%A8%ED%8C%85)


    댓글

    Designed by JB FACTORY