[IT/보안] 트로이목마란?

트로이목마(Trojan)란?

출처: 알약  

 

정의

: 정상적인 프로그램인 것처럼 위장하여 시스템에 침투하여 일단 실행되면 악성행위를 하는 프로그램이다. 사용자 모르게 설치되어 공격자가 원하는 악의적인 행위를 하며, remote 네트워크에서 시스템을 원격으로 조종할 수 있게 한다. 바이러스와 구분되는 가장 큰 특징은 자기복제능력이 없다는 것이다.

 

증상

: 일반적으로 사용자가 체감할 수 있는 증상은 거의 없으며, 사용자가 명령하지 않은 작업이 저절로 실행된다. 공격자가 시스템에 마음대로 접속할 수 있도록 해주거나 시스템/사용자의 정보를 빼돌려 사용자 모르게 공격자에게 전달한다.

알약의 탐지명에서 분류하는 트로이목마의 대표적인 형태와 각각의 증상은 아래와 같다.

 

Keylogger

 사용자 동의없이 키보드상에서 입력되는 키값을 기록한다.

 

Rat

 사용자가 인지하지 못한 상태에서 시스템에 마음대로 원격지에서 접속하여 악의적인 행동을 한다.

 

Dropper

 악성코드 내부적으로 또다른 새로운 악성코드를 생성하는 역할을 한다.

 

Downloader

 사용자 동의없이 악성코드를 다운로드하고 실행시킨다. 

일반적으로 서비스에 등록되어 부팅시 자동실행되는 경우가 많고, 특정 사이트로부터 악성코드를 다운로드 받아 실행시킨다. 자체적으로는 악의적인 일을 하지 않는다.

 

Agent

 사용자 모르게 시스템에 침투하여 악성행위를 하는 악성코드

 

ARPSpoof

 감염PC와 동일한 IP대역주소를 공격자 자신의 랜카드 주소로 매치시켜서 다른 PC로 전달될 정보를 도중에 가로채는 ARPSpoofing 공격을 일으키는 악성코드

 

Rootkit

 시스템에 침투한 후에 자신의 침투사실을 은폐하기 위해 자신과 악성코드 프로세스, 레지스트리등을 보호하는 악성코드. 차후 공격자의 원격접속을 위한 백도어를 설치하거나 내부로그 삭제, 관리자 권한 획득등을 주로 목표로 한다. 

운영체제 커널에 상주하여 커널 메모리를 조작한다.

 

Spammer

 사용자 동의 없이 스팸메일을 자동으로 발송하는 악성코드

 

DDoS

 사용자 모르게 DDoS 공격트래픽을 발생시키는 악성코드

 

Clicker

 허위경고, 허위오류보고등으로 사용자들에게 클릭을 유도하여 웹사이트 접속을 유도하거나 클릭시 악성코드를 다운로드하는 악성코드