리눅스마스터1급: 트로이 목마(Trojan Horse) 공격

리눅스마스터1급: 트로이 목마(Trojan Horse) 공격

트로이 목마는 정상적인 기능을 하는 프로그램으로 가장하여 프로그램 내에 숨어서 의도하지 않은 기능을 수행하는 프로그램의 코드 조각이다.

이는 바이러스나 웜에서 주로 사용하는 매커니즘이다.

전통적인 트로이 목마 공격은 Dennis M. Ritchie에 의해 소개 되었다.

최근의 컴퓨터 세계에서 말하는 트로이 목마는 유용하고 흥미 있는 기능을 수행하거나 그런 기능을 하는 것처럼 보이는 독립된 프로그램에 숨어 있다.

이러한 표면적으로 드러나는 기능과 함께 트로이 목마 프로그램은 어떤 다른 비인가 된 기능을 수행한다.

전형적인 트로이 목마는 유용한 것으로 가장하여 사용자가 그 프로그램을 실행하게 되면 실제 기대했던 기능이 수행된다.

하지만 실제 목적은 사용자의 합법적인 권한을 사용하여 시스템의 방어 체제를 침해하고 공격자는 접근이 허락되지 않는 정보를 획득하는 것이다.

트로이 목마는 새로운 시스템 기능에 대한 정보를 보여주거나 새로운 게임이라고 하는 프로그램들에 숨어있는 경우가 많다.

공격자는 정상적인 Login 기능을 하는 것 같은 패스워드 수집기(Password Grabber) 프로그램을 작성한다.

의심 없는 사용자가 로그인 프롬프트를 보면 로그인하려고 하고, 프로그램은 정상적인 로그인 순서로 사용자가 평범한 방법으로 로그인하고 있다고 생각하게 한다.

하지만 트로이 목마를 가진 그 프로그램은 로그인 ID와 패스워드를 받으면 이 정보를 공격자 소유의 파일에 복사하거나 메일로 공격자에게 전송한다.

그리고 "login incorrect"라는 오류 메시지를 보낸다.

사용자는 자신이 잘못 쳐서 보내었다고 생각하고 로그인 ID와 패스워드를 다시 친다.

그동안 트로이 목마를 가진 프로그램은 빠져 나오고 실제 login 프로그램에게 제어권을 넘겨준다.

다음에 사용자는 성공적으로 로그인하게 되고 자신의 로그인 ID와 패스워드 정보가 유출되었다는 사실을 전혀 의심치 않는다.

어떤 이는 이러한 종류의 트로이 목마를 "Trojan Mule"이라고 부르는데 그 이유는 전형적인 트로이 목마처럼 유용한 시스템 정보를 보여주는 프로그램이나 게임 프로그램에 숨어있는 것과는 다르게, 유용한 기능을 가장하지 않고 단순한 눈속임이기 때문이다.

어떤 트로이 목마는 자기 존재의 흔적을 남기지 않아 발견될 염려가 없고, 의심받지 않는 소프트웨어에 숨어 있다.

또 발견되기 전에 스스로를 파괴하도록 프로그래밍 될 수도 있다.

과거 인터넷이 활성화되기 이전의 트로이 목마 공격은 상대방 시스템의 관리자나 사용자가 트로이안 프로그램을 실행시켜 시스템에 피해를 주는 공격이었다.

즉, 트로이안을 실행시키면 하드를 포맷한다거나 파일이 삭제되거나 시스템을 정지시키거나 하는 것이었다.

하지만 인터넷이 활성화된 다음부터 트로이안은 인터넷의 개방성을 무기로 전세계 어떤 곳에서든지 상대방 컴퓨터를 공격할 수 있는 형태로 제작되었다.

그 유명한 백 오리피스(Back Orifice)같은 프로그램도 트로이 목마이다.

이는 서버가 실행되는 원격 시스템 제어 해킹 툴이다.

상대방의 시스템에 백 오리피스 같은 트로이안 서버가 설치되어 있으면 외부 사용자가 클라이언트 프로그램으로 백 오리피스 서버가 설치된 상대방 컴퓨터를 마음대로 조정하는 공격이다.

백 오리피스는 그 컴퓨터의 사용자보다 더 많은 제어를 할 수 있다.

사용하기 쉬워 초보자도 할 수 있는 해킹법이지만 아주 강력하고 위험한 공격이다.

그리고 이는 세계적으로 가장 많이 사용되는 윈도우 운영체제를 공격하기 때문에 심각한 공격이 될 수 있다.

그리고 트로이안 중에 상대방의 키보드 사용 내역을 특정한 파일로 저장하게 하고 나중에 이 파일의 내용으로 그 중요한 정보를 빼내올 수 있다.

이는 상대방이 키보드를 누를 때마다 그 키의 내용을 파일에 저장하는 프로그램을 말한다.

만약 상대방이 ID와 패스워드로 어떤 호스트에 접속을 했다면 접속할 때 사용한 ID와 패스워드가 파일에 저장된다.

일반적으로 트로이안은 상대 컴퓨터에 서버 프로그램을 설치해 주어야 한다.

이것은 PC방이나 학교 전산실 등에 직접 설치하는 방법이 있고 E-mail을 통한 첨부파일 형태로 상대방에게 전송할 수도 있다.

물론 상대방이 이것을 실행시켜야 한다.

일단 이것이 실행되고 나면 해커는 클라이언트 프로그램을 이용하여 거의 모든 일을 할 수 있다.

여기에는 컴퓨터 정보 보기, 파일 보기, 파일 내용 보기, 파일 삭제하기, 파일 가져오기, 작업 화면 보기, 웹 서버로 작동시키기, 플러그인 실행, 레지스트리 편집, 대화 상자 출력, 포트 리다이렉션, 프로세스 죽이기 등이 있다.