트로이 목마 바이러스란 무엇입니까! 만약 컴퓨터에 트로이마 바이러스가 있다면 고칠 수 있나요?

트로이 목마의 완전한 분석

한 클라이언트의 PC 에 속도가 느리거나, 옵티컬 드라이브 트레이가 불규칙하게 들어오고, 전례 없는 오류 메시지, 화면 이미지 뒤집기 등 이상한 증상이 나타났다. 나는 그의 인터넷 연결을 끊은 다음 맬웨어를 처리하는 표준 절차에 따라 검사한 결과, 마침내 원흉을 찾아냈다. 두 개의 원격 방문 목마, 하나는 악명 높은 죽은 소 사교의 등구멍이고, 다른 하나는 흔하지 않은 것이다. 이 사건에서 공격자는 한 아이인 것 같다. 그는 단지 못된장난 좀 하려고, 다른 사람이 인터넷을 하지 못하게 하거나, 음란물을 교환하려고 하는데, 더 이상 위험하지 않다. 공격자가 다른 더 위험한 목표를 가지고 있다면, 그는 이미 고객의 기계와 네트워크에서 대량의 기밀 정보를 훔쳤을 것이다.

트로이 목마는 다른 어떤 악성 코드보다 더 위험하다. 안전을 보장하는 가장 좋은 방법은 트로이마의 종류와 작동 원리를 숙지하고 이러한 악성 코드를 탐지하고 예방하는 방법을 익히는 것입니다.

우선, 트로이 목마를 처음 보았습니다.

트로이 목마는 호스트에서 조용히 실행되는 악성 프로그램으로, 공격자에게 사용자가 모르는 사이에 원격으로 시스템에 액세스하고 제어할 수 있는 권한을 부여합니다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 일반적으로 대부분의 트로이 목마는 시만텍의 pcAnywhere 와 같은 공식적인 원격 제어 소프트웨어의 기능을 모방하지만, 트로이 목마는 설치 및 작동과 같은 몇 가지 분명한 특징을 가지고 있습니다. 모두 어둠 속에서 이루어집니다. 공격자는 종종 일부 게임이나 작은 소프트웨어에서 트로이 말을 숨기고 부주의한 사용자가 자신의 시스템에서 실행되도록 유도한다. 가장 흔한 경우는 홀랑거리는 사용자가 비정규 사이트에서 악성 코드가 있는 소프트웨어를 다운로드하여 실행하거나 실수로 악성 코드가 있는 메일 첨부 파일을 클릭하는 경우입니다.

대부분의 트로이 목마에는 클라이언트와 서버가 포함됩니다. 공격자는 binder 라는 도구를 사용하여 서버 부분을 합법적인 소프트웨어에 바인딩하여 사용자가 합법적인 소프트웨어를 실행하도록 유도했습니다. 사용자가 소프트웨어를 실행하면 트로이 목마의 서버 부분은 사용자가 모르는 사이에 설치 프로세스를 완료합니다. 일반적으로 트로이마의 서버 부분은 사용자 정의 가능합니다. 공격자가 사용자 정의할 수 있는 항목에는 일반적으로 서버의 IP 포트 번호, 프로그램 시작 시간, 전화 방법, 스텔스 방법, 암호화 여부 등이 있습니다. 또한 공격자는 로그인 서버의 비밀번호를 설정하여 통신 모드를 결정할 수 있습니다.

서버는 전자 메일을 보내 공격자에게 현재 시스템을 성공적으로 인수했다고 알릴 수 있습니다. 또는 숨겨진 인터넷 통신 채널에 연락하여 점유한 시스템의 IP 주소를 브로드캐스팅할 수 있습니다. 또한 트로이 목마의 서버 부분이 시작되면 미리 정의된 포트를 통해 공격자 시스템에서 실행되는 클라이언트 프로그램과 직접 통신할 수 있습니다. 트로이마의 서버가 클라이언트 프로그램과 어떻게 연결되든 한 가지는 변하지 않는다. 공격자는 항상 클라이언트 프로그램을 사용하여 서버 프로그램에 명령을 전송하여 사용자의 시스템을 제어합니다.

트로이 공격자는 침입한 기계를 마음대로 보거나 라디오를 통해 명령을 내려 통제하에 있는 모든 목마가 함께 행동하도록 지시하거나, 더 넓은 범위로 확산되거나, 다른 위험한 일을 하도록 지시할 수 있다. 실제로 사전 정의된 키워드를 사용하면 침입한 모든 시스템이 하드 드라이브를 포맷하거나 다른 호스트를 공격할 수 있습니다. 공격자는 트로이마를 사용하여 많은 수의 기계를 침입한 다음 주요 호스트에 대해 서비스 거부 (DoS) 공격을 개시하는 경우가 많습니다. 피해자가 네트워크가 비정상적인 트래픽에 잠기고 공격자를 찾아내려고 할 때, 그는 무지한 DSL 이나 케이블 모뎀 사용자만을 추적할 수 있을 뿐, 그들도 피해자이고, 실제 공격자는 이미 탈출한 지 오래다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 전쟁명언)

둘째, 매우 위험한 악성 프로그램

대부분의 악성 프로그램의 경우, 삭제만 하면 위험이 지나도 위협은 더 이상 존재하지 않지만 트로이 목마는 좀 특이하다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 트로이 목마는 바이러스, 웜 등 맬웨어와 마찬가지로 파일 삭제 또는 수정, 하드 드라이브 포맷, 다운로드 파일 업로드, 사용자 괴롭힘, 기타 악성 프로그램 추방 등을 수행합니다. 예를 들어, 공격자가 침입한 기계를 점령하여 게임이나 공격 도구를 보관하는 것을 자주 볼 수 있으며, 사용자의 디스크 공간은 거의 모두 점유되고 있지만, 트로이마에는 컨텐츠 도용 및 원격 제어라는 고유한 특징이 있어 가장 위험한 맬웨어가 됩니다.

첫째, 트로이 목마는 각 사용자의 화면과 모든 키 입력 이벤트를 캡처할 수 있습니다. 즉, 공격자는 사용자의 암호, 디렉토리 경로, 드라이브 매핑, 의료 기록, 은행 계좌 및 신용 카드, 개인 통신 정보를 쉽게 훔칠 수 있습니다. PC 에 마이크가 있다면 트로이마는 대화를 엿들을 수 있다. PC 에 카메라가 있으면 많은 목마가 카메라를 켜고 동영상 내용을 포착할 수 있습니다. 악성 코드 세계에서는 트로이 목마보다 사용자의 사생활을 더 위협할 수 있는 것은 없습니다. PC 앞에서 말하고 하는 모든 것이 기록될 수 있습니다.

일부 트로이 목마에는 네트워크 카드를 통과하는 모든 패킷을 캡처하고 분석할 수 있는 패킷 스니퍼가 있습니다. 공격자는 목마가 훔친 정보로 뒷문을 설정할 수 있다. 트로이 목마가 나중에 지워져도 공격자는 이전에 남겨진 뒷문을 사용하여 침입할 수 있다.

둘째, 권한이 없는 사용자가 원격으로 호스트를 제어할 수 있다면 호스트는 강력한 공격 무기가 된다. 원격 공격자는 PC 자체의 자원을 마음대로 조작할 수 있을 뿐만 아니라 합법적인 PC 사용자로 가장할 수 있습니다. 예를 들어 합법적인 사용자로 가장하여 메일을 보내고 문서를 수정할 수 있습니다. 물론 점유한 기계를 이용하여 다른 시스템을 공격할 수도 있습니다. 2 년 전, 한 가정 사용자가 나에게 그가 명백한 적자로 보이는 주식 거래를 제출하지 않았다는 것을 거래기관에 증명해 달라고 부탁했다. 거래기관은 확실히 거래에 그의 PC 의 IP 주소를 기록했고, 나도 그의 브라우저 버퍼에서 분쟁 거래의 흔적을 발견했다. 게다가, 나는 SubSeven (Backdoor_G) 트로이 말의 조짐도 발견했다. 트로이마가 이번 막대한 손실을 초래한 주식거래와 직접적인 관련이 있다는 증거는 없지만, 트로이마가 거래할 때 활발하다는 것을 알 수 있다.

셋째, 트로이마의 타입입니다

Back Orifice, SubSeven 등과 같은 일반적인 트로이 목마는 화면, 사운드, 비디오 콘텐츠 캡처 등 모든 기능을 갖춘 다목적 공격 키트입니다. 이러한 트로이 목마는 키 레코더, 리모컨, FTP 서버, HTTP 서버, 텔넷 서버로 사용할 수 있으며 비밀번호를 찾아 훔칠 수 있습니다. 공격자는 트로이가 수신하는 포트, 작동 모드 및 트로이가 이메일, IRC 또는 기타 통신을 통해 공격자에게 연락할지 여부를 구성할 수 있습니다. 일부 유해한 트로이 목마는 또한 여러 가지 방법으로 자신을 숨기고, 통신을 암호화하고, 다른 공격자에게 추가 기능을 개발할 수 있는 전문 API 를 제공할 수 있는 안티 탐지 기능도 갖추고 있습니다. 이러한 트로이 목마는 완전한 기능을 갖추고 있기 때문에 100 KB ~ 300 KB 에 달하는 경우가 많습니다. 상대적으로, 누군가의 주의를 끌지 않고 사용자의 기계에 설치하는 것은 매우 어렵다.

단일 기능을 가진 트로이 목마의 경우 공격자는 가능한 한 작게, 일반적으로 10 KB ~ 30 KB 를 유지하여 주의를 끌지 않고 빠르게 활성화할 수 있습니다. 이러한 트로이 목마는 일반적으로 키 레코더로 사용됩니다. 이들은 피해를 입은 사용자의 모든 키 입력 이벤트를 기록하고 이를 숨겨진 파일에 저장하여 공격자가 파일을 다운로드하여 사용자의 작업을 분석할 수 있도록 합니다. 일부 트로이 목마는 FTP, 웹 또는 채팅 서버 기능을 갖추고 있습니다. 일반적으로 이러한 미니 트로이 목마는 초기 침입의 보안을 보장하기 위해 얻기 어려운 초기 원격 제어 기능을 훔치는 데만 사용되며, 주의를 끌지 못할 적절한 시기에 모든 기능을 갖춘 대형 트로이를 업로드하는 데 사용됩니다.

인터넷 검색 사이트 중 하나를 찾아 키워드를 검색해 트로이를 원격으로 방문하면 곧 수백 개의 목마를 얻을 수 있다. 종류가 많기 때문에 트로이 목마를 전문적으로 수집하는 대부분의 사이트는 알파벳 순서로 배열해야 한다. 각 글자 아래에는 수십 개, 심지어 100 여 개의 목마가 있다. Back Orifice 와 SubSeven 이라는 가장 인기있는 두 가지 목마를 살펴 보겠습니다.

■ 후면 구멍

1998 에서 죽은 소 사교가 뒷말을 발전시켰다. 이 프로그램은 곧 트로이 마장에서 센세이션을 일으켰다. 프로그래밍 가능한 API 뿐만 아니라 많은 일반 원격 제어 소프트웨어를 왜소하게 만드는 다른 새로운 기능도 많이 있습니다. Back Orifice 2000 (BO2K) 은 GNU GPL (general public license) 에 따라 발행되었으며 고정 사용자 그룹을 유치하여 pcAnywhere 와 같은 오래된 원격 제어 소프트웨어와 경쟁하기를 희망합니다.

그러나 기본 은밀한 조작 모드와 명백한 공격 의도는 단시간에 많은 사용자가 받아들일 수 없을 것이다. 공격자는 BO2K 의 서버 구성 도구를 사용하여 TCP 또는 UDP, 포트 번호, 암호화 유형, 비밀 활성화 (Windows 9x 시스템에서는 더 잘 실행되지만 Windows NT 시스템에서는 더 잘 작동하지 않음), 암호, 플러그인 등을 포함한 많은 서버 매개변수를 구성할 수 있습니다.

Back Orifice 의 많은 기능은 키 입력 기록, HTTP 파일 찾아보기, 레지스트리 편집, 오디오 비디오 캡처, 비밀번호 도용, TCP/IP 포트 리디렉션, 메시지 전송, 원격 재시작, 원격 잠금, 패킷 암호화, 파일 압축 등 인상적입니다. Back Orifice 에는 플러그인을 통해 기능을 확장할 수 있는 SDK (소프트웨어 개발 키트) 가 포함되어 있습니다.

기본 bo_peep.dll 플러그인을 사용하면 공격자가 시스템의 키보드와 마우스를 원격으로 제어할 수 있습니다. 실제 응용 프로그램의 경우 후면 구멍은 잘못된 입력 명령에 매우 민감합니다. 경험이 없는 초보자는 자주 추락할 수 있지만 경험이 있는 베테랑을 만나면 길들이고 강해질 수 있다. (윌리엄 셰익스피어, 햄릿, 경험명언)

■ SubSeven

SubSeven 은 Back Orifice 보다 더 인기가 많을 것이다. 이 트로이는 주요 바이러스 백신 소프트웨어 업체들의 감염 통계에 앞장서고 있다. SubSeven 은 키 레코더 및 패킷 스니퍼 역할을 할 수 있으며 포트 리디렉션, 레지스트리 수정, 마이크 및 카메라 기록 기능도 제공합니다. 그림 2 는 일부 SubSeven 클라이언트 명령 및 서버 구성 옵션을 보여 줍니다.

SubSeven 에는 공격자가 원격으로 마우스 버튼을 교환하고, Caps Lock, Num Lock 및 Scroll Lock 을 끄고, Ctrl+Alt+Del 을 비활성화하고, 사용자를 로그아웃하고, 옵티컬 드라이브를 켜고 끄고, 모니터를 끄고 켤 수 있는 여러 가지 기능이 있습니다.

SubSeven 은 ICQ, IRC, e-메일, 심지어 CGI 스크립트를 사용하여 공격 개시자에게 연락합니다. 서버 포트를 임의로 변경하고 공격자에게 포트 변경 사항을 알릴 수 있습니다. 또한 SubSeven 은 AOL 인스턴트 메시징 (AIM), ICQ, RAS 및 화면 보호기의 비밀번호를 훔치는 특수 코드를 제공합니다.

넷째, 트로이 말 탐지 및 제거

만약 기업 네트워크가 바이러스와 이메일 웜에 의해 파괴된다면, 이 네트워크는 트로이 목마의 첫 번째 목표가 될 것이다. 트로이 목마는 바인딩 프로그램과 공격자를 통해 암호화되기 때문에, 일반적인 바이러스 백신 소프트웨어는 웜과 바이러스보다 트로이 목마를 발견하는 것이 훨씬 더 어렵다. 한편, 트로이마는 일반 웜과 바이러스보다 훨씬 더 많은 피해를 입힐 수 있습니다. 따라서 트로이 목마를 탐지하고 제거하는 것이 시스템 관리자의 최우선 과제입니다.

악성 코드에 대항하는 가장 좋은 무기는 최신 성숙한 바이러스 검사 도구이다. 스캐닝 도구는 대부분의 트로이 말을 감지하고 가능한 한 청소 프로세스를 자동화합니다. 많은 관리자들이 트로이 목마를 탐지하고 제거하기 위해 특별한 도구에 지나치게 의존하고 있지만, 일부 도구의 효과는 의심스럽고 적어도 완전히 신뢰할 수는 없습니다. 그러나 Agnitum 의 Tauscan 은 확실히 최고급 스캐닝 소프트웨어이며, 지난 몇 년간의 성공은 이미 그것의 유효성을 증명했다.

트로이 침입의 명백한 증거 중 하나는 피해자 기계의 한 포트가 의외로 열렸다는 것이다. 특히, 이 항구가 트로이마의 일반 항구라면 트로이 침입의 증거가 더욱 확실해질 것이다. 트로이 침입의 증거가 발견되면 공격자가 감지하고 더 공격할 기회를 줄이기 위해 가능한 한 빨리 기계의 네트워크 연결을 차단해야 한다. 작업 관리자를 열고, 인터넷에 연결된 모든 프로그램 (예: 이메일 프로그램 및 인스턴트 메시징 프로그램) 을 닫고, 시스템 트레이에서 실행 중인 모든 프로그램을 닫습니다. 일시적으로 안전 모드로 부팅하지 않도록 주의하십시오. 안전 모드로 부팅하면 일반적으로 트로이 목마가 메모리에 로드되지 않으므로 트로이 목마를 감지하기가 어렵습니다.

물론 Windows 를 포함한 대부분의 운영 체제에는 IP 네트워크 상태를 감지하는 Netstat 도구가 있어 로컬 시스템의 모든 활성 수신 포트 (UDP 및 TCP 포함) 를 표시할 수 있습니다. 명령줄 창을 열고' Netstat -a' 명령을 실행하여 로컬 시스템에서 열려 있는 모든 IP 포트를 표시하고 예기치 않게 열린 포트가 있는지 확인합니다 (물론 포트 개념과 일반 프로그램에서 사용하는 포트에 대해 어느 정도 알아야 함).

에서는 Netstat 테스트의 예를 보여 줍니다. 테스트 결과 Back Orifice 가 사용하는 포트 중 하나 (예: 3 1337) 가 활성화되고 트로이 클라이언트가 원격 시스템의 12 16 포트 (ROGERLAP) 를 사용하는 것으로 나타났다 알려진 트로이 목마가 일반적으로 사용하는 포트 외에도 알 수 없는 FTP 서버 (포트 2 1) 와 웹 서버 (포트 80) 에 특히 주의를 기울여야 합니다.

그러나 Netstat 명령에는 한 가지 단점이 있습니다. 활성화된 IP 포트를 표시할 수 있지만 활성화된 프로그램이나 파일이 표시되지 않습니다. 어떤 실행 파일이 어떤 네트워크 연결을 만드는지 확인하려면 포트 열거 도구를 사용해야 합니다. 예를 들어, Winternals 소프트웨어의 TCPView Professional 은 우수한 포트 열거 도구입니다. 도스칸은 트로이마를 식별할 수 있을 뿐만 아니라 프로그램과 포트 간의 연결도 만들 수 있다. 또한 Windows XP 의 Netstat 도구는 해당 포트를 사용하는 프로그램이나 서비스의 PID (프로세스 식별자) 를 표시하는 새로운 -o 옵션을 제공합니다. PID 를 사용하면 작업 관리자가 PID 를 기반으로 해당 프로그램을 쉽게 찾을 수 있습니다.

포트 열거 도구가 없고 배후 가해자의 정체를 빨리 알 수 없는 경우, 자동으로 시작되는 낯선 프로그램 (레지스트리 포함) 을 찾으십시오. Ini 파일, 시작 폴더 등. 그런 다음 시스템을 재부팅하여 안전 모드로 들어가 가능한 경우 Netstat 명령을 사용하여 트로이 마가 메모리에 로드되지 않았는지 확인합니다. 그런 다음 이전에 확인된 의심스러운 각 프로그램을 한 번에 하나씩 실행하고 Netstat 명령을 사용하여 새로 열린 포트를 확인합니다. 프로그램이 인터넷 연결을 초기화하면 매우 조심해야 한다. 의심스러운 모든 프로그램을 철저히 조사하여 신뢰할 수 없는 모든 소프트웨어를 제거합니다.

Netstat 명령 및 포트 열거 도구는 한 대의 시스템을 감지하는 데 적합하지만 전체 네트워크를 감지하려면 어떻게 해야 합니까? 대부분의 침입 탐지 시스템은 일상적인 통신에서 흔히 볼 수 있는 트로이 목마 패킷을 포착할 수 있다. FTP 및 HTTP 데이터에는 트로이 목마 패킷과 같은 특수한 인식 가능한 데이터 구조가 있습니다. IDS 가 올바르게 구성되고 자주 업데이트되는 한, Back Orifice 와 SubSeven 사이의 암호화된 통신도 안정적으로 감지할 수 있습니다. 공용 오픈 소스 IDS 도구는 http://www.snort.org 를 참조하십시오.

동사 (verb 의 약어) 는 레거시 문제를 처리합니다.

트로이 목마가 검출되고 제거된 후 또 다른 중요한 문제가 발생했다. 원격 공격자가 민감한 정보를 훔쳤는가? 피해는 얼마나 됩니까? 정확한 답을 제시하기는 어렵지만, 아래 질문을 통해 피해 정도를 결정할 수 있다. 우선, 트로이마가 존재한지 얼마나 되었습니까? 파일 작성 날짜가 완전히 신뢰할 수 없을 수도 있지만 참조로 사용될 수 있습니다. Windows 탐색기를 사용하여 트로이 목마의 실행 파일 생성 날짜와 최근 액세스 날짜를 확인합니다. 실행 파일 생성 날짜가 빠르지만 최근 액세스 날짜가 가까우면 공격자가 트로이 목마를 오랫동안 사용했을 수 있습니다.

둘째, 공격자가 기계를 침공한 후 어떤 조치를 취했습니까? 공격자가 기밀 데이터베이스에 액세스하거나, 이메일을 보내거나, 다른 원격 네트워크에 액세스하거나, * * * 이 디렉토리에 액세스합니까? 공격자에게 관리자 권한이 있습니까? 파일 및 프로그램의 방문 날짜가 사용자의 근무 시간 밖에 있는지 여부와 같은 검은 기계를 자세히 검사하여 단서를 찾습니까? (윌리엄 셰익스피어, 템플릿, 컴퓨터명언) (윌리엄 셰익스피어, 템플릿, 컴퓨터명언)

보안 요구 사항이 낮은 환경에서는 대부분의 사용자가 트로이 목마를 제거한 후 원격 공격자가 향후 다시 성공하지 못하도록 방지하는 한 정상 작동을 재개할 수 있습니다. 일반적인 보안 요구 사항의 경우 모든 비밀번호와 기타 민감한 정보 (예: 신용 카드 번호) 를 수정하는 것이 좋습니다.

보안 요구 사항이 높은 경우 알 수 없는 잠재적 위험은 용납할 수 없습니다. 필요한 경우 관리자 또는 네트워크 보안 책임자를 조정하고, 전체 네트워크를 철저히 탐지하고, 모든 비밀번호를 수정하고, 후속 위험 분석을 수행해야 합니다. 침입한 기계의 경우 다시 포맷하여 완전히 설치하다.

트로이 목마는 기계를 원격으로 제어하고 화면, 키, 오디오 비디오를 잡을 수 있는 능력을 갖추고 있어 일반 바이러스와 웜보다 훨씬 더 위험할 수 있습니다. 트로이마의 운행 원리를 깊이 이해하고 이를 바탕으로 정확한 방어 조치를 취하다. 그래야만 트로이마의 피해를 효과적으로 줄일 수 있다.