의견.png

트로이목마

위키원
eom9522 (토론 | 기여)님의 2019년 9월 23일 (월) 14:04 판
이동: 둘러보기, 검색

트로이목마(Trojan Horse)는 사전적 정의로 정상 파일로 위장한 악성코드이다. 좀 더 명확하게 정의하자면, 사이버 공격의 목적을 달성하기 위해 정상 파일로 위장해 보안 검열을 피하고 감염시킨 기기에 은닉하는 악성코드이다. 트로이목마는 그리스 신화에 나오는 트로이목마와 성격이 같다고 할 수 있다. 무장 병사를 숨겨 목마에 숨기고 평범한 목마처럼 위장해 견고한 트로이아 성벽을 뚫었다면, 트로이목마 악성코드 또한 정상 파일로 위장한 체 공격용 악성코드를 숨김으로써 견고한 보안 검열을 뚫는다.

개요

특징

  • 목표 대상에 도달할 때까지 아무런 공격 행위를 가하지 않는다. 이에 해당하는 대표 트로이목마로 '스턱스넷(Stuxnet)'이 있다. 스턱스넷은 평상시에는 아무런 공격을 가하지 앙ㄶ는다. 다만 발전소 운영 시스템에 접근하게 되면, 시스템을 비정상적인 행위를 하도록 해서 해당 발전소에 피해를 준다. 2010년 7월 이란 나탄즈 원자력 발전소는 스턱스넷으로 원심 분리기 1,000여 대가 파괴된 적이 있다. 이로 인해 발전소 가동이 약 1년 중단되었다.
  • 보안 검열을 피하고자 여러 회피 기술들을 사용한다. 트로이 목마 악성코드를 실제로 분석해본 결과, 여러 우회 기술들이 발견되었다. 대표적으로 가상화 탐지 기술이 최근 트로이목마에서 주로 발견되었다. 대부분의 악성코드 분석은 가상화 시스템 기반에 악성코드를 분석하는데, 이유는 분석용 기기가 악성코드에 감염되게 하지 않기 위해서이다. 참고로 가상화 시스템은 분석용 기기와 별개의 시스템을 만들기 때문에, 가상화 시스템이 감염되어도 분석용 기기에 피해를 주지 않는다. 따라서 트로이 목마는 가상화를 탐지할 시에는 어떠한 악성 행위를 하지 않음으로써 보안 검열을 회피한다.

각주

참고자료

같이 보기

  의견.png 이 트로이목마 문서는 보안에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.