# 컴퓨터 바이러스
- 컴퓨터 프로그램의 한 종류
- 사용자 몰래 은닉하여 정상적인 프로그램이나 사용자 데이터를 파괴하는 악성 프로그램
- 컴퓨터 바이러스와 악성코드가 혼동되어 사용되지만, 근본적인 차이는 '자기복제여부' 이다.
## 세대별 컴퓨터 바이러스
1. 제 1세대, 원시형 바이러스(Primitive Virus)
- 아마추어 프로그래머에 의해 개발된 바이러스
- 단순, 분석 쉽고, 코드 변형이 없이 고정된 크기를 갖고 있다.
- 주기억장치에 상주해서 부트영역이나 파일을 감염시키는 특성이 있다.
- 돌 바이러스(Stoned), 예루살렘 바이러스(Jerusalem)
2. 제 2세대, 암호화 바이러스((Encryption Virus)
- 컴퓨터 프로그램의 일부 또는 전체를 암호화 시켜서 백신으로 바이러스 감염 여부를 확인할 수 없게 한다. (단, 암호화 방식이 일정해 복호화 방식또한 일정하다.)
- 폭포 바이러스(Cascade), 느림보 바이러스(Slow)
3. 제 3세대, 은폐형 바이러스(Stealth Virus)
- 스스로 은폐할 수 있는 바이러스
- 다른 실행파일에 기생하여 해당 실행파일의 크기를 증가시킨다.
- 파일 크기가 변경되기 때문에백신이 발견하기 쉽다. (단, 백신이 감염 여부를 진단할 때 이전 상태를 보여주어서 감염 여부를 확인하기 어렵게 한다.)
- 맥가이버 바이러스(MacGyver), 브레인 바이러스(Brain), 512 바이러스
4. 제 4세대, 갑옷형 바이러스(Armor Virus)
- 다양한 암호화 기법을 사용해 은폐하는 기법을 사용하여 백신이 진단하기 어렵다.
- 바이러스가 프로그램을 변형하기 위해 100만개 이상의 방법을 사용한다.
- 전문 프로그래머가 개발
- 진단이나 치료가 불가능하지는 않다.
- 다형성 바이러스(Polymorphic), 자체 변형 바이러스(Self-encryption)
5. 제 5세대, 매크로 바이러스
- 엑셀이나 워드처럼 매크로 명령을 사용하는 프로그램을 감염시키는 바이러스
- 누구나 쉽게 만들 수 있고 배포할 수 있다.
## 감염 대상에 따른 컴퓨터 바이러스
### 부트 바이러스
부트섹터에 영향을 주는 컴퓨터 바이러스이다.
부트섹터에 바이러스가 감염되면 컴퓨터가 부팅되지 않거나 부팅 시간이 오래 걸리게 된다.
브레인 바이러스, 미켈란젤로 바이러스가 있다.
### 파일 바이러스
사용자가 사용하는 일반파일에 감염되는 바이러스이다.
윈도우의 실행파일인 COM 혹은 EXE 파일을 감염시킨다.
1. 부트 바이러스
원래 프로그램은 파괴하지 않고 바이러스가 프로그램의 앞 혹은 뒤에 붙어 기생한다.
바이러스 감염 여부 확인이 어렵다.
2. 겹쳐쓰기형 바이러스
파일의 앞부분을 겹쳐쓴다.
원래 프로그램이 파괴되므로 원래 프로그램은 복구가 안 된다.
3. 산란형 바이러스
EXE를 감염시키지 않고 같은 이름으로 COM 파일을 만든다.
같은 디렉터리에 같은 이름의 EXE와 COM이 존재하는 경우, 사용자가 파일 이름을 입력하면 COM이 먼저 실행된다.
4. 연결형 바이러스
프로그램을 감염시키지 않는다.
디렉터리 영역에 저장된 프로그램의 시작 위치를 바이러스 위치로 변경한다.
프로그램을 실행하면 원래 프로그램이 아니라 바이러스가 실행된다.
### 부트 및 파일 바이러스
부트섹터와 파일영역 모두를 감염시키는 바이러스
게킬라, 나타스, 침입자 바이러스가 있다.
## 윈도우 DDE 취약점을 이용한 공격
윈도우 DDE(Dynamic Data Exchange)는 윈도우에서 애플리케이션 간 데이터를 전송하기 위한 프로토콜
윈도우 애플리케이션 간 공유 메모리를 사용해서 데이터를 공유한다.
DDE는 윈도우 및 다른 운영체제 간에 데이터를 공유할 수 있도록 허용한다.
윈도우 DDE의 취약점은 DDE의 정상적인 기능을 악용한 것으로 MS Word의 경우 문서를 열 때 자동 연결 업데이트를 해제하면 방어할 수 있다.
## Shellcode와 Heap Spray
Shellcode는 작은 크기의 코드로 소프트웨어 취약점을 이용하는 짧은 기계어 코드이다.
일반적으로 명령 셀을 실행시켜서 피해자의 컴퓨터를 공격자가 통제한다.
Shellcode는 어셈블리어로 작성되고 기계어로 번역되어 사용된다.
## 버퍼 오버플로우(Buffer Overflow)
프로세스가 사용 가능한 메모리 공간을 초과해서 발생되는 공격으로 보안 취약점이다.
C, C++ 등을 사용해서 프로그램을 개발할 때 메모리 공간에 제한을 두지 않는 API를 사용해서 발생하는 공격이다.
## 버퍼 오버런(Buffer Overrun)
메모리 공간에 할당된 공간보다 더 큰 데이터를 입력하면 프로그램의 오류를 유발할 수 있다. 공격자는 프로그램의 오류를 유발하여 시스템을 장악하거나 Shellcode를 복사하여 악성코드를 실행한다.
## 힙 버퍼 오버플로우 공격(Heap Buffer Overflow Attack)
힙 영역은 동적으로 할당되는 공간이 저장되어 있다.
힙 영역은 하위 주소에서 상위주소로 메모리를 할당한다. 그러므로 경계 값 검사를 하지 않고 메모리를 사용하면 경계를 초과하는 취약점이 발생한다.
## 경쟁조건(Race Condition)
다중 프로세스 환경에서 두 개 이상의 프로세스가 동시에 수행될 때 발생되는 비정상적인 상태
임의의 공유자원을 여러 개의 프로세스가 경쟁하기 때문에 발생한다.
## APT 공격 (Advanced Persistent Threat)
특정 기법 및 조직을 대상(타겟기반 공격)으로 다양한 공격 기법을 사용하여 지속적으로 공격을 수행하는 행위.
APT는 사회관계망 서비스(Social Network Service)를 사용하여 정보수집, 악성코드 배포를 수행하고 공격표적을 선정하여 지속적으로 공격을 수행하는 것이다.
### APT 공격단계
1. 침투(Incursion)
이메일, USB, 웹사이트를 통한 악성코드 등
2. 탐색 (Discovery)
Network 정보, 시스템 정보, 계정 정보 및 DB/시스템 구조에 대한 정보
3. 수집/공격(Capture/Attack)
목표로 한 데이터 수집 혹은 시스템 공격
4. 유출(Exfiltration)
분석 및 추가 공격 혹은 금전적 이익을 취하기 위해 정보 유출