Network/Network

Malware - 트로이 목마(Trojan Horse), 백도어(Backdoor)

🌐 트로이 목마

트로이 목마(Trojan Horse)는 겉보기에는 정상적인 프로그램으로 변장한 상태에서 숨겨진 악성 코드를 통해 사용자의 시스템 방어망을 뚫고 들어가는 악성코드의 일종이다. ① 백도어를 열고, ② 영향을 받을 만한 취약한 장치(시스템)를 제어함으로써 ③ 사용자의 데이터를 유출하고 이를 공격자에게 전송하며, 더 나아가 ④ 취약한 시스템을 통해 다른 악성 소프트웨어를 다운로드해 실행할 수 있도록 하는 악성코드이다. 

 

현대의 트로이목마는 백도어 자체로 많이 사용되고 있다. 

몇몇의 트로이 목마는 오래된 버전의 Internet Explorer와 Chrome의 보안적 취약점을 악용해 설치된 컴퓨터를 프록시 서버로 사용하기도 하고, 봇넷으로 사용해 DDoS 공격을 하기도 한다. 

 

트로이 목마는 주로 웹 사이트에서 악성 코드가 포함된 파일을 다운로드 받도록 하거나, 피싱을 통해 이메일에 첨부된 파일을 다운로드 받으면 설치되도록 한다.

🤛트로이 목마의 유형

  • 침입 방법에 따른 분류
    • 백도어 트로이 목마: 최근 가장 많이 사용되는 방식으로, 컴퓨터의 방어망에 해커가 침투할 수 있는 구멍을 뚫어두는 것이다.
    • 다운로더 트로이 목마: 악성 사이트 등에서 더욱 악의적인 코드를 자동으로 다운로드하도록 만들어 컴퓨터를 장악한다.
    • 루트킷 트로이 목마: 다른 공격자가 이용할 수 있는 숨겨진 해킹 툴을 설치한다.
  • 침입 목적에 따른 분류
    • 메일파인더(Mailfinders): 사용자의 주소록을 탈취해 스팸에 사용할 수 있는 이메일 주소를 확보한다.
    • DDoS 트로이 목마: 컴퓨터에 대한 권한 자체를 탈취해 봇넷으로 사용하며 다른 공격 목표에 대한 DDoS 공격에 이용한다.
    • Banking 트로이목마: 금융 로그인 정보를 탈취하거나 관련된 랜섬웨어를 설치한다.
    • 랜섬웨어 트로이목마: 파일을 암호화한 후, 복원해주는 대가로 비트코인 등의 몸값을 요구한다. 

트로이 목마는 하나의 카테고리에만 속하는 것이 아니라 다양한 방법으로, 다양한 목적으로 공격할 수 있다.

 

🌐 백도어

백도어(Backdoor)는 일반적인 인증을 거치지 않고, 원격 접속을 통해 흔적을 남기지 않고 여러가지 활동을 행하는 방법을 말한다. 백도어의 가장 최종적인 목표는 피해 대상이 되는 시스템(컴퓨터)의 모든 권한을 얻는 것이다. 

 

백도어는 목적과 방법에 따라 다양한 종류가 포함되어 있다. 앞서 말한 트로이목마도 백도어에 포함할 수 있다. 

  • 패스워드 크래킹 백도어
  • Rhosts ++ 백도어: 네트워크에 연결된 유닉스 시스템에서 호스트 이름을 제외한 그 외의 인증 과정을 거치지 않는 보안 취약성을 공략한 백도어
  • Checksum 백도어, Timestamp 백도어
  • Login 백도어
  • Telnet-d 백도어
  • Services 백도어
  • Cronjob 백도어
  • Library 백도어
  • Kernel 백도어
  • FileSystem 백도어
  • Bootblock 백도어
  • Process Hiding 백도어
  • Rootkit
  • Network Traffic 백도어
  • TCP Shell 백도어

등 다양하다!

 

🤜 패스워드 크래킹 백도어 (Password Cracking Backdoor)

패스워드 크래킹은 공격자가 암호화되어 있는 사용자의 패스워드를 평문 형태로 알아내는 공격을 말하며, 사용자의 Password를 알아냄으로써 백도어의 가능성을 가질 수 있게 된다. 더 나아가 공격자들이 해당 패스워드를 어렵게 만들어버린다면 그 계정을 되찾기 어려워진다.

 

패스워드 크래킹을 하는 방법은 다음과 같이 크게 4가지로 나눌 수 있다.

  1. Dictionary Attack (사전 공격)
    자주 사용되는 패스워드를 위주로 패스워드 파일을 만들고, 하나씩 대입하며 일치 여부를 확인한다.
  2. Brute Force Attack
    비밀번호로 사용할 수 있는 문자들을 모두 조합하고 대입하며 패스워드의 일치 여부를 확인한다.
  3. 혼합 공격
    1번의 사전 공격에서 사용되는 사전 파일의 문자열에 추가로 문자들을 덧붙여 대입하며 패스워드의 일치 여부를 확인한다.
  4. Rainbow Table Attack
    패스워드와 해시로 이루어진 테이블을 무수하게 만들어놓은 체인을 이용하는 방식으로, 일치하는 해시값을 찾아 패스워드를 찾아내는 방식이다.

📜 참고

https://tar-cvzf-studybackup-tar-gz.tistory.com/54

SMALL

'Network > Network' 카테고리의 다른 글

스니핑과 스푸핑  (0) 2022.05.27
서브네팅(Subnetting)  (0) 2022.05.27
BurpSuite를 사용해 Proxy 해보기!  (0) 2022.05.20
IP Address - whois, hosts 파일, ping  (0) 2022.05.19
OSI 7계층  (0) 2022.05.13

    티스토리툴바