WEBVTT

00:01.340 --> 00:02.600
멀웨어의 유형.

00:03.020 --> 00:04.370
일반적인 유형:

00:04.550 --> 00:07.250
드롭퍼 또는 다운로더.

00:07.520 --> 00:08.810
키로거 또는

00:08.810 --> 00:10.490
정보 도용자.

00:10.940 --> 00:13.730
봇 또는 스팸 봇.

00:13.880 --> 00:14.690
은행원.

00:15.140 --> 00:16.040
Worm.

00:16.070 --> 00:18.320
랜섬웨어. Miner.

00:18.530 --> 00:19.250
백도어.

00:21.060 --> 00:21.780
먼저, 드로퍼와

00:22.140 --> 00:25.320
다운로더란 무엇인가요?

00:25.770 --> 00:33.000
드로퍼는 임베디드 스크립트를 사용하여 임베디드 실행 파일을 자체에서 추출한 다음 실행합니다.

00:33.000 --> 00:40.350
일반적으로 오피스 워드 또는 엑셀 문서를 사용하는 멀웨어 스팸을 통해 확산됩니다.

00:41.370 --> 00:50.100
다운로더는 드로퍼와 동일하지만 두 번째 단계는 C2 서버, 명령 및 제어 서버에서 원격으로 다운로드된다는

00:50.130 --> 00:52.770
점이 다릅니다.

00:53.490 --> 01:01.500
따라서 파일은 임베드되지 않고 대신 멀웨어가 인터넷에 접속하여 두 번째 단계를 다운로드합니다.

01:03.150 --> 01:05.700
정보 도용자 및 키로거.

01:06.060 --> 01:11.730
정보 탈취 프로그램과 키로거는 일반적으로 하나의 실행 파일로 제공됩니다.

01:12.540 --> 01:15.120
이들의 목적은 키 입력을 기록하고,

01:15.910 --> 01:19.990
캡처한 키 로그를 이메일로 전송하여 데이터를

01:20.530 --> 01:26.170
유출하거나, FTP를 사용할 수도 있습니다.

01:27.230 --> 01:30.220
데이터는 로컬에 저장될 수도 있습니다.

01:31.130 --> 01:34.670
서버와의 통신은 암호화될 수 있습니다.

01:36.310 --> 01:40.150
브라우저나 애플리케이션 비밀번호(예: Chrome,

01:40.660 --> 01:47.140
Firefox, IMO, Outlook 또는 파일 비밀번호)를 훔칠 수 있습니다.

01:49.020 --> 01:51.120
키로거의 경우 주의해야 할 사항: 키로거는

01:51.150 --> 01:51.810
일반적으로 다음과

01:51.810 --> 01:54.990
같은 API를 사용합니다: GetAsyncKeyState,

01:55.500 --> 01:57.210
SetWindowsHookEx

01:57.810 --> 02:06.420
및 GetForegroundWindow. 스틸러를 사용하는 기능: 예를 들어 Chrome,

02:06.570 --> 02:15.480
Firefox, DLL에 사용되는 SQLite3와 Chrome에 저장된 자격 증명을 해독하기 위해

02:15.510 --> 02:22.290
Crypt UnprotectData라는 API를 사용할 수 있습니다.

02:24.110 --> 02:31.520
그리고 스팸, 스팸 봇 또는 그냥 봇도 있습니다. 간단히 말해, 멀웨어의 일종으로 감염된 컴퓨터가

02:31.910 --> 02:35.360
봇넷의 일부가 되는 것입니다.

02:36.260 --> 02:40.730
봇넷은 봇마스터 또는 마스터에 의해 제어됩니다.

02:41.090 --> 02:50.090
암호화폐 채굴이나 분산 서비스 거부 공격(DDoS)에 사용되거나 악성

02:50.090 --> 02:51.440
스팸을 보내는

02:52.340 --> 02:56.090
데도 사용될 수 있습니다.

02:56.960 --> 03:02.120
미라이, 사토리, 켈리호스, 제로액세스 등이 그 예입니다.

03:02.360 --> 03:07.300
오른쪽은 일반적인 봇넷의 계층 구조를 보여주는 다이어그램입니다.

03:07.310 --> 03:11.540
최상위에는 봇 마스터가 있을 수 있습니다. 그 아래에는 명령 및 제어

03:11.570 --> 03:19.700
서버, 짧은 C2 서버가 있고 그 아래에는 모든 감염된 컴퓨터가 있습니다.

03:20.690 --> 03:23.880
그리고 은행원 멀웨어도 있습니다.

03:24.480 --> 03:29.460
이들은 매우 흔하며 정보 도용자들과 함께 존재합니다.

03:29.760 --> 03:33.870
이들의 주된 목적은 은행 정보를 훔치는 것입니다.

03:34.260 --> 03:39.410
웹 인젝션 또는 API 후킹(예: Zeus, Dridex,

03:39.420 --> 03:51.240
Ramnit)을 통해 이를 수행합니다. API 후킹의 예: 정보를 훔치기 위해 API를 가로채서 자체 가짜 API로

03:51.240 --> 03:55.050
리디렉션할 수 있습니다(예: HttpSendRequest

03:55.170 --> 03:59.580
API의 후킹).

04:00.940 --> 04:02.650
그리고 웜도 있습니다.

04:02.830 --> 04:06.310
웜은 네트워크를 통해 스스로 전파됩니다.

04:06.490 --> 04:08.950
일반적으로 상호 작용은 필요하지 않습니다.

04:09.490 --> 04:14.880
이는 운영 체제의 취약점(예: EternalBlue 익스플로잇

04:14.890 --> 04:18.880
또는 취약점)을 악용할 수 있기 때문입니다.

04:18.910 --> 04:23.500
웜에는 악성 페이로드(예: 워너크라이)가 포함될 수 있습니다.

04:24.520 --> 04:31.150
이 익스플로잇은 이터널블루와 더블펄서 익스플로잇을 사용하며 랜섬웨어 페이로드가 포함되어 있습니다.

04:31.510 --> 04:34.270
그리고 랜섬웨어 멀웨어도 있습니다.

04:34.930 --> 04:43.300
랜섬웨어는 파일을 암호화하고 해당 파일을 해제하기 위해 지불을 요구하는 메시지를 표시하며, 일반적으로 비트코인을

04:43.300 --> 04:47.710
지불 수단으로 사용합니다(예: 워너크라이).

04:48.490 --> 04:56.140
암호화폐로 인해 인기를 얻고 있습니다. 수십만 대의 컴퓨터가 암호화되는 등 공격의

04:56.140 --> 05:04.700
규모가 점점 더 커지고 있습니다. 또한 암호화폐 채굴자라고도 하는 채굴자들도 있습니다.

05:05.240 --> 05:12.890
일반적으로 오픈 소스 암호화폐 채굴 소프트웨어로 만들어지며, 채굴자는 피해 컴퓨터를

05:12.890 --> 05:18.740
사용하여 암호화폐를 채굴한 후 공격자의 지갑으로 전송합니다.

05:19.460 --> 05:22.730
봇넷이나 멀웨어 스팸을 통해 확산될 수 있습니다.

05:23.770 --> 05:25.750
그리고 백도어도 있습니다.

05:26.050 --> 05:33.670
백도어는 원격 액세스 도구 또는 원격 액세스 트로이목마의 약자인 RAT라고도 합니다.

05:34.120 --> 05:38.290
이렇게 하면 공격자는 시스템에 대한 숨겨진 원격 액세스 권한을 얻게 됩니다.

05:38.980 --> 05:43.630
여기에는 정보 도용 및 키로깅 기능이 포함될 수 있습니다.

05:43.930 --> 05:52.330
또한 피해 컴퓨터가 방화벽 뒤에 있는 경우 역방향 TCP 연결을 사용하여 인터넷의 명령 및 제어

05:52.330 --> 05:56.290
서버에 역방향으로 연결할 수 있습니다.

05:56.380 --> 06:02.290
정교한 백도어 또는 RAT는 모듈식 프레임워크(예: Remcos RAT)를

06:02.290 --> 06:03.460
활용합니다.

06:03.790 --> 06:05.110
시청해 주셔서 감사합니다.