정보보호개론 - 트로이목마

 

트로이목마는 악성 루틴이 숨어있는 프로그램이다.

그리스 신화에서 평범한 목마 안에 병사들을 숨겼다는 것과 같이 겉보기에는 정상적인 것 같지만 사용자가 실행하면 악성 코드가 실행된다.(리버스 엔지니어링~~)

사회공학 기법 형태로 퍼지며 현대에는 백도어로서 많이 사용되고 있다.

 

목적

• 시스템 충돌
• 파일의 수정/삭제
• 데이터 오염
• 모든 내용을 지워버리는 디스크 포맷
• 네트워크로의 악성코드 전파
• 사용자의 행동 감시와 민감한 정보 접근

 

자원/신분의 사용

• DDoS와 같은 봇넷으로 기계를 사용
• 암호화폐 마이닝을 위한 자원 사용(크립토재킹)
• 감염된 컴퓨터를 프록시로 사용

 

금전 절도, 랜섬웨어

• 전자화폐 절도
• 크립토라커와 같은 랜섬웨어 설치

 

데이터 절도

• 사용자의 비밀번호/체크카드 정보/신원 등을 확보 및 절도

 

스파잉/감시/스토킹

• 키로깅
• 웹캠 해킹
• 원격 관리
• 네트워크를 스캔하여 트로이 목마가 설치된 위치를 찾아 제어

 

대표적인 트로이 목마

넷버스(Netbus)

• 12345번 포트 사용
• 가장 사용하기 쉽고 퍼지기 쉬운 트로이 중의 하나

 

백오리피스(Back Orifice)

• 31337번 포트 사용
• 가장 유명하여 제거 툴이 가장 많은 트로이

 

스쿨버스(Schoolbus)

• 54321번 포트 사용

 

Executor

• 80번 포트 사용
• 감염된 컴퓨터의 시스템사일을 삭제하거나 시스템 자체를 파괴하는 트로이 중의 하나

 

Silencer

• 1001번 포트 사용
• 제거 툴이 없음!

 

Striker

• 2565번 포트 사용
• 감염된 컴퓨터를 무조건 고장내버림(고물상 직행)
• 시스템 드라이브 등 하드디스크를 모두 파괴하여 아예 부팅이 할 수 없게 만드는 트로이