악성 소프트웨어

모든 기기가 컴퓨터화 되어 인터넷을 통해 연결되고 있으며, 대부분의 데이터가 디지털 포맷으로 저장되고 있는 상황은  악성 소프트웨어의 증가와 발전으로 이어질 충분한 이유가 된다. 

 

악성 소프트웨어의 탐지가 어려운 이유

: 보편적으로 RAM 메모리에 보관됨 -> RAM은 시스템을 리부트하면 초기화됨.

 

파일리스 공격(Fileless Malware Attack)

: 일반적인 안티 바이러스 소프트웨어 - 악성 파일의 시그니처 탐지 및 삭제함.

but 파일리스 공격은 정상적인 소프트웨어 및 내장된 도구를 통해 악성 스크립트를 실행하므로 저장장치에 직접적인 흔적을 남기지 않는다는 점이 기존의 멀웨어와의 차이이다. 메모리(RAM)에서 악성코드가 실행되므로 탐지가 어렵고, 따라서 인 메모리 악성코드(In-Memory Malware)라고 부르기도 한다. 위에서 언급한 악성 소프트웨어 탐지 이유는 파일리스 공격 때문인 것 같다.

ex> 문서 파일을 이용한 스크립트 실행(MS office의 매크로 이용 - VBS를 작성하여 실행되도록 설정) - 이러한 기능이 ms office, hwp, pdf에서 가능하다고 하는데 pdf에서는 어떻게 가능한 것인지 알아볼 것.

트로이 목마 

: 프로그램의 공격 목적(B)은 숨기고, 사용자에게는 다른 프로그램(A)인 것 처럼 위장하는 프로그램이다.

따라서 트로이 목마 실행 시 사용자는 A 기능을 인지하지만, 배후에서 트로이 목마는 B의 기능을 수행한다. 

보통 사용자는 웹사이트로부터 A 기능의 소프트웨어라고 인지하고 트로이목마를 다운받지만, 트로이 목마는 B의 기능(백도어 구성, 키로거 설치, 루트킷 구현, 파일 업로드, 봇 소프트웨어 설치 등)을 수행한다.

세계에서 가장 급속하게 성장하는 악성 소프트웨어 중 하나이다.

 

원격 접속 트로이(Remote Access Trojans, RATs)

: 원격 접속 트로이 목마는 공격자가 피해자의 시스템에 원격으로 접근할 수 있도록 하는 프로그램이다. 
RAT이 피해자 시스템에 로드되면 공격자는 원격으로 피해자의 시스템을 공격할 수 있다.