[정보보안] Malicious Software

Malicious software : 시스템이 가진 취약성을 악용하는 프로그램

• program fragments that need a host program : e.g. viriuses, logic bomb, backdoors ... (호스트프로그램이 필요한 친구들)
• independent self-contained programs : e.g. worms, bots (호스트프로그램 필요 없음!! 독립적으로 존재하는 친구들)
• replicating or not

Malware는 2개의 넓은 카테고리로 분류됨 : 원하는 target에 어떻게 퍼지고 (propagate)번식?!?!?전파하는지 -> tagret에 도착하면 그것이 수행하는 actions이나 payloads

 

payload : 악성코드의 행위
crimware: propagation과 payload mechanisms을 포함하는 malware을 작성하기 위한 tool
APT (advanced persistent threats) : 
- Advanced : sophisticated
- Persistent : attak over an extended period of time 감지되지 않기위해 오랜 시간동안 쪼꼼쪼꼼씩 공격
- Threat : selected targets (capable, well-funded attackers) 특정한 target을 정함

 

Viruses

- Piece of software that infects programs

• copy of virus를 포함하도록 프로그램을 수정
• host program이 실행될때 비밀리에 virus도 실행된다!!

- Specific to operating system and hardware

• taking advantage of their details and weaknesses

- A typical virus goes through phases of :

• dormant : idle (잠복기) - 특정 action이나 event가 일어나기 전까지는 잠복기 상태를 유지 (사용자가 키를 누른다던가!!)
• propagation : copies itself to other program (자기자신의 copy를 만들어서 다른 프로그램을 감염시킴)
• triggering : activated to performr functions (활성화) - dormant virus는 활성화 될 때, 즉 대기중인 이벤트가 초기화 될때(실행 될 때) 이 단계로 이동함
• execution : the function is performed - 바이러슥가 하는 실질적인 일!!

- Virus structure

• infection mechanism : replication 가능
• trigger : payload를 활성화 하는 event
• payload : virus가 하는 악의적인 활동
• 감염된 프로그램이 호출되면 바이러스 코드가 먼저 실행되고 그 다음 original code가 실행됨 -> 정상적으로 동작하기 때문에 바이러스에 감염됐는지 모름

 

 

그런데 이렇게 파일 앞에 바이러스를 붙이면 파일의 크기가 커져서 크기만 검사하면 바로 바이러스의 유무를 알 수있음 -> 압축한다!!!

 

Compression Virus

 

 

Virus Classification

- By Target

• boot sector : infect a master boot record 부팅과 관련된 master boot record를 감염시킴 -> 부팅 자체가 안됨
• file infectior : infects executable OS files
• macro virus : infects files to be used by an app
• multipartite : infects multiple ways (위에 세가지 중에 여러개 사용)

- By Concealment

• encrypted virus : encrypeted; virus안에 key 저장해둠
• stealth virus : hides itself (e.g., compression)
• polymorphic virus : recreates with diff "signature" : virus signature가 정의돼있으면 이거만 감지하면 바이러스를 찾을 수 있음 -> signature을 계속 바꿈, body(code)는 그대로!!
• metamorphic cirus : polymorphic은 signature만 바꾸는데 얘는 signature와 behavior(code)까지 바꿈
• Oligomorphism : infection할 때마다 encryption key를 바꿈

Worms

- Replicating program that propagates over network

- virus 같은 phase를 가지고 있다 

• dormant, propagation, triggering, excution
• propagation phase : system과 연결된 다른 system을 찾아서 스스로 복제하고 실행함. (self-propagation : 웜이 주변에 있는 host를 일정 숫자 감염시키면 감염속도가 급격하게 증가)

- 스스로 system process인척함

 

Worm Propagation Model

- Simple Epidemic Model

• the time-tested model of Infectious diseses를 model worm propagation에 사용
• 세가지 상태가 가능 - Susceptible, Infected, Quarantined/Removed

 

Worm Propagation Modeling and Anaylsis under Dynamic Quarantine Defense. Cliff Changchun xou, Weibo Gond, Don Towsley

 

• infectious hosts : continuously infect others.
• removed host in computer area : worm이 없어지고 면역이 생긴 Patched computers, worm의 순환이 차단되거나 끊기는 컴퓨터!!

이거 설명은 다음에,,,

 

 

Worm Countermeasures

- Worm defense approaches include :

• signature-based worm scan filtering : define signatures
• filter-based worm containment (focus on contents)
• payoad-classification-based worm containment (examine packets for anomalies)
• threshold random walk scan detection (limit the rate of scan-like traffic)
• rate limiting and rate halting (limit outgoing traffic when a threshold is met)