20200401_클라이언트 보안

* 악성 소프트웨어

	바이러스	트로이목마	웜
자기복제	O	X	매우강함
형태	시스템부트, 메모리, 파일 영역 감염 대상	유틸리티로 위장,코드 삽입	독자적
전파경로	사용, 감염 파일	사용 내려받음.	네트워크 스스로
주요증상	시스템, 파일 손상	실행시 PC성는저하, 좀비 PC	네트워크 성능 저하
특징	프로그램, 데이터 파괴 목적	데이터 파괴, 자료삭제. 정보탈취 목적	막대한 시스템 과부하
다른 프로그램 감염	O	X	X
숙주 필요 여부	O	X	X

- 트로이목마 : 기능 - 원격조정, 패스워드 가로채기, 키보드 입력 가로채기, 시스템파일 파괴형태

* 악성 소프트웨어 분류

- 기생형 : 바이러스, 논리폭탄, 백도어
- 독립형 : 운영체제 스케줄되어 구동. 웜, 좀비 프로그램

- 자기복제 여부 -- 악성 : 바이러스, 웜
                     -- 비악성 : 트로이목마, 백도어

* 매크로 바이러스

1) 매크로 바이러스 위협적 이유 : 플랫폼 무관 
                                       문서 감염시키고 코드 실행부분은 감염시키지 않음.
                                       쉽게 퍼짐, 전자메일
                                       실행파일(COM, EXT) 주의 덜하기 때문

2) 매크로 바이러스의 희생양 PDF. 자바스크립트 같은 다양한 형태의 스크립트를 포함할 수 있음

3) MS워드, 엑셀에 붙어 열릴때 실행. 매크로 바이러스 매우 흔한 바이러스이나 데이터 파일 바이러스 감염되지 않는다 생각함

* 바이러스 방지책

- 안티 바이러스 방법
탐지 : 바이러스가 있는지 판단하고 위치 파악
식별 : 감염시킨 바이러스 식별
제거 : 시스템에서 제거

- 안티 바이러스 필터링 방법
 sinature scaning : 유일한 시그널 찾아 내는 방법. 이진 스트링, 스크립트.
 behavioral virus scaning : 바이러스 어떤 행동 추적 방법. 위의 방법에서 불가능했던 새로운 바이러스와 웜에 대한 대처 능력 가질수 있음.

* 웜의 전파/확산
- 메일 / IMS
- 파일공유
- 원격 실행
- 원격 파일 전송
- 원격 로그인
- 모바일코드

- 래빗( Rabbit) : 최초의 웜 바이러스 . 인가되지 않은 시스템 접근 허용.

- 웜 대응 : 웜이 상주시 안티 바이러스 소프트웨어 감지함.
              네트워크 활동 모니터링 (웜 활동시 네트워크 활발해지기 때문)

* 악성코드 운반하는 payload의 4가지 분류
- 시스템파괴(오염) : 논리폭탄, stuxnet, 랜섬웨어
- 공격 에이전트 : 좀비, 봇
- 정보 유출 : 키로거, 피싱, 스파이웨어
- 잡입(스텔스) : 백도어, 루트킷

: 논리 폭탄은 특정 날짜나 시간 등 조건이 충족되었을 때 악의적인 function이 유발할 수 있게 만든 코드의 일부분으로 소프트웨어 시스템에 의도적으로 삽입된 것. 주로 이메일 폭탄, 컴퓨터 바이러스 등과 같이 컴퓨터 네트워크를 사용하는 범죄 및 사이버 테러 방법에 사용
: 루트킷은 시스템 침입 후 침입 사실을 숨긴 채 차후의 침입을 위한 백도어, 트로이목마 설치, 원격접근, 내부 사용 흔적 삭제, 관리자 권한 획득 등 주로 불법적인 해킹에 사용되는 기능들을 제공하는 프로그램이다. 루트킷이 설치되면 해킹 또는 루트킷 설치 여부조차 감지하기 어렵다. 
: 키로그는 사용자가 키보드로 입력하는 비밀번호 등 모든 것을 파일로 저장한다
: 백도어는 시스템 접근에 대한 사용자 인증 등 정상적인 절차를 거치지 않고 응용프로그램 또는 시스템에 접근하도록 하는 프로그램이다. 결과적으로 인증되지 않은 사용자가 컴퓨터의 기능을 무단으로 사용할 수 있도록 한다. 
: 피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정 취득. 즉 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었다.
: 

*모바일폰 Trojan
- 모바일 웜처럼 목표는 스마트폰. 
- 아이폰 운영체제 PDF 취약점 공격

* 스파이웨어
- 트로이목마와 비슷. 민감한 정보 주기적 수집. 원격지로 보냄. 은밀하게 설치되는 악성 소프트웨어
- 신용 도용, 스매핑, 사기 등. (스매퍼가 포적 광고를 보내는데 활용)

* 애드웨어
- 자동 광고 생성 소프트웨어. 팝업. 판매수익 올릴 목적.

* 파일리스
- 악성코드가 시스템 메모리에 곧 바로 로드되어 실행되어지므로 Fileless In-Memory Attack 이라고 하며, 이러한 악성코드를 fileless malware(악성코드)라 부름. Fileless malware라고 부르는 것은, malware가 실행 파일의 형태로 실행되지 않고, 동작되는 시스템의 메모리(RAM)에 직접 로드되어 실행되어지기 때문

* 쿠키 보안 취약점
- XSS . 자바스크립트
- 스니핑 : 쿠키 클라이언트에 저장. 쿠키값 암호화안하고 전송시 네트워크 스니핑 공격. 쿠키값 탈취.
- 공용 PC 쿠키값 유출

* 세션
- 세션ID(서버저장) 세션쿠키(클라이언트 메모리 저장) 를 이용하여 클라이언트와 서버간에 주고 받음
- 클라이언트 상태정보를 서버에 저장. 보안상 쿠키보다 안전
- HTTP세션 하이재킹( Session ID Hijacking) 공격 :  세션id 정보 탈취하여 정상 사용자로 위장접근 가능.