Worm

웜

전파: 취약점 이용

컴퓨터들이 활발히 찾아 다니며 감염시키고, 감염된 컴퓨터들은 다른 컴퓨터를 공격
클라이언트 또는 서버 프로그램에 있는 소프트웨어의 취약점 이용
시스템들 간의 확산을 위해 네트워크를 연결할 수 있음
공유된 미디어를 통해 확산됨(USB 드라이버, CD, DVD, 데이터 디스크)
전자 메일 웜은 매크로나 스크립트 코드에 포함된 첨부 파일 또는 인스턴트 메신저 파일 전송을 통해 확산됨
활성화 시 웜이 다시 복제되거나 증식 될 수 있음
일반적으로 페이로드의 일부 양식을 수반 함
최초로 알려진 구현은 1980년대 초기 제록스 팔로 알토(Palo Aloto) 연구소
- 연산집약적 작업을 실행하기 위해 덜 바쁜 시스템을 찾기 위한 것
- 악성적이지 않았음.

웜 복제

전자메일 or 인스턴트 메신저

자신을 다른 시스템에 복제한 웜 전자 메일
자기 자신을 첨부파일로 하여 인스턴트 메신저를 통해 전송

파일 공유

자신의 복제본을 생성하거나 이동식 미디어에 바이러스 같은 파일을 감염 시킴

원격 실행 기능

웜은 또 다른 시스템에 자신의 복제본을 실행

원격 파일 접근 or 전송 기능

웜은 한 시스템에서 다른 시스템으롤 자신을 복제하기 위해 파일 접근 서비스나 전송 서비를 이용함

원격 로그인 기능

웜은 원격시스템에서 사용자로 로그인 한 다음 명령을 사용하여 자신을 다른 시스템에 복제함

웜 전파 모델

Pasted image 20241127012703.png

모리스 웜

최초의 심각한 주목을 이끈 웜 감염
1988년 로버트 모리스(Robert Morris)에 의해 방출됨
유닉스 시스템상에 확산되도록 고안됨
- 로그인이나 패스워드로 다른 시스템에 로그온 해 로컬
- 패스워드 파일을 크래킹 하려고 시도
- 원격 사용자의 행방을 보고하는 핑거 프로토콜(finger protocol)의 버그가 악용됨 (접속 요청 용도. 최근엔 이용 X)
- 메일을 수신하고 전송하는 원격 프로ۿ스의 디버그 옵션에 있는 트랩도어(trapdoor)가 악용됨
공격 성공 시, 웜은 운영 체제 명령 인터프리터와의 통신을 달성하게 됨

최신 웜 공격

이름 (코드명)	발생 시기	주요 특징
코드레드 (Code Red)	2001년 7월	마이크로소프트의 IIS(인터넷 정보 서버) 버그를 이용하여 랜덤 IP 주소를 탐색, 활성화 시 대량의 인터넷 용량 소비.
코드레드 II (Code Red II)	2001년 8월	IIS를 타겟으로 하여 원격 액세스를 위한 백도어 설치.
님다 (Nimda)	2001년 9월	이메일, 윈도우 파일 공유, 웹 서버, 웹 클라이언트, 백도어 등을 통해 확산.
SQL 슬래머 (SQL Slammer)	2003년 초반	SQL 서버의 버퍼 오버플로우 취약점을 이용하여 조밀하고 빠르게 확산.
소빅.F (Sobig.F)	2003년 후반	감염된 컴퓨터를 스팸 엔진으로 만들어 개방형 프록시 서버를 통해 확산.
마이둠 (Mydoom)	2004년	대량 이메일 웜을 통해 감염된 컴퓨터에 백도어 설치.
와레조브 (Warezov)	2006년	시스템 디렉토리에 실행 파일 생성, 자신을 전자메일 첨부 파일로 전송, 보안 관련 제품들에 장애를 유발할 수 있음.
Conficker (Downadup)	2008년 11월	윈도우 버퍼 오버플로우 취약점을 악용하여 감염. SQL 슬래머 이후 가장 널리 확산된 사례.
스턱스넷 (Stuxnet)	2010년	탐지율을 줄이고 확산 속도를 제한하며, 산업용 제어 시스템을 대상으로 한 신종 해충형 사이버 공격.

웜 기술 특성

Pasted image 20241127013449.png

모바일 폰 웜

2004년 카비르(Cabir)가 최초 발견
2005년에는 라스코(Lasco)와 컴웨리어(CommWarrior)가 발견

특징

블루투스 무선 연결이나 MMS(멀티미디어 메시지 서비스)를 통해 통신 함
스마트폰을 대상으로 함
핸드폰을 완전히 못쓰게 하거나 기기상의 데이터 삭제 또는 유료 메시지를 전송하게 함

EX

컴웨리어는 블루투스를 통해 다른 핸드폰에 자신을 복제시켜, 스스로를 MMS파일처럼 연락처에 전송하거나 문자메시지에 자동 답장 기능을 통해 전파시킴