다운로드와 실행기
흔히 만날 수 있는 악성코드의 두 가지 유형은 다운로더와 실행기다.
다운로더는 단순히 인터넷에서 악성코드의 다른 일부를 다운로드한 후 로컬 시스템에서 실행한다.(다운로드는 종종 익스플로잇과 함께 세트를 이룬다)
다운로더(Downloader)는 일반적으로 새로운 악성코드를 다운로드하고 실행하기 위해서 WinExec호출에 이어 윈도 API인 URLDownLoadtoFileA를 사용함
실행기(loader : 로더)는 현재 실행이나 추후 실행을 은닉하기 위해 악성코드를 설치하는 특정 실행 파일이다.
백도어
백도어(Backdoor)는 공격자가 감염된 사용자 머신에 원격 접속할 수 있게 도와주는 악성코드의 한 종류이다.
악성코드 중에서 가장 흔하게 발견되는 유형이며, 다양한 기능을 이용한 온갖 종류의 백도어가 있다.
가장 일반적인 방법으로는 HTTP 프로토콜을 이용해 80번 포트로 통신한다.
리버스 쉘
리버스 쉘(Reverse Shell)은 감염된 사용자 머신에서 출발하는 연결이며, 공격자에게 해당 머신에 대한 접속을 허용한다.
독립형 악성코드와 좀 더 복잡한 백도어 모두에서 발견된다.
넷켓 리버스 쉘
넷캣을 두 개의 머신에서 실행해 리버스 쉘을 만들 수 있다.
공격자는 넷캣이나 또는 다른 악성코드에 포함돼 있는 넷캣 패키지를 사용하는 것으로 알려져 있다.
RAT
원격 관리 도구 (RAT : Remote Administration Tool)는 원격에 있는 컴퓨터들을 관리할 때 사용한다.
RAT는 정보를 훔치거나 정보를 다른 네트워크로 이동시키는 것과 같은 특정 목적을 가진 표적 공격에 사용한다.
봇넷
봇넷(botnet)은 좀비로 알려진 침해 호스트의 집합으로, 일반적으로 봇넷 컨트롤러 알려진 서버를 통해 단일 엔티티에 의해 통제된다.
봇넷의 목표는 추가 악성코드, 스팸을 전파하거나 분산 서비스 거부(DDos) 공격을 수행할 수 있는 큰 좀비 네트워크를 구성하기 위해 최대한 많은 호스트를 침해하는 것이다.
RAT과 봇넷의 비교
- 모든 봇넷은 한 번에 통제되는 데 반해 RAT는 피해 호스트별로 통제된다. 이는 RAT의 경우 공격자가 개별 호스트에 대해 좀 더 많은 관심을 갖고 있기 때문이다.
- RAT는 표적 공격에 사용되는 데 반해 봇넷은 대량 공격에 사용된다.
인증정보 탈취기
공격자는 인증정보를 훔치기 위해 노력을 아끼지 않으며, 이런 종류의 악성코드는 크게 3 가지 유형이 있다.
- 인증정보를 훔치기 위해 사용자가 로그인할 때까지 기다리는 프로그램
- 인증정보를 훔치기 위해 윈도우에 저장돼 있는 정보(패스워드 해쉬)를 덤프 하는 프로그램
- 키 스트로크를 로깅하는 프로그램