맬웨어와 취약점의 명명에 대한 사전 정의된 표준은 많지 않지만, 장르, 영향, 심지어 악성 기능까지 구분되는 경우가 많습니다. 게다가, 취약점에 고유한 이름을 부여하는 것은 옵션이 너무 많아 사실상 불가능합니다. 하지만 맬웨어 샘플의 기능을 기반으로 이름을 지정하는 방법은 많습니다. 이 외에도, 상황에 혼란을 주기 위한 다양한 일반적인 명명 기법들이 존재합니다.
명명이 왜 중요한가?
맬웨어와 취약점에 이름을 붙이는 개념은 규모가 큰 맬웨어 계열에 매우 적합합니다. 맬웨어 계열이 탐지되면 특정 성을 부여할 수 있습니다. 이러한 접근 방식은 위협 인텔리전스 관점에서 중요합니다. 이러한 맬웨어의 이름 지정에 대한 특정 표준을 제정한 여러 기관이 있습니다. 악성 코드 그리고 취약성은 샘플의 기능, 작성자 이름, 심지어 위기의 관련 도메인에 따라 달라집니다.
기존 명명 표준
악성코드 및 취약점 명명 체계는 컴퓨터 안티바이러스 연구 기구(CARO)에서 표준화되었습니다. 분석가들은 위협에 따라 악성코드 명명에 몇 가지 고려 사항을 제시했습니다.
1. 유형: 이 고려 사항은 조직이 다루고 있는 악성코드의 유형을 나타냅니다. 가능한 선택 사항에는 백도어, 트로이 목마, 웜, 바이러스, 심지어 랜섬웨어 위협까지 포함됩니다.
2. 플랫폼: 언급된 맬웨어나 취약점의 영향을 받는 플랫폼을 분석하는 것이 중요합니다. 여기에는 Windows, Android, Mac OS 등 여러 플랫폼이 포함될 수 있습니다. 특히 Windows OS에 영향을 미친 WannaCry 랜섬웨어가 그 예입니다.
3. 패밀리: 이 측면은 공통적인 특징이나 제작자에 따라 맬웨어를 분류합니다. 예를 들어 Petya와 Mischa를 두 랜섬웨어의 공통 제작자인 Janus가 홍보하는 이중 랜섬웨어 패밀리로 분류하는 것이 있습니다.
4. 변형 문자: 이는 악성 소프트웨어 제품군의 각 버전을 연대순 및 알파벳순으로 순차적으로 구분하는 기술적 결정 요소입니다.
5. 추가 통찰력: 이전에 언급한 것 외의 다른 세부 정보를 사용하는 일반 카테고리입니다.
맬웨어 및 취약점 명명
특정 맬웨어와 취약점의 이름이 어떻게 지어지는지 이해하는 것이 중요합니다. Mischa와 Petya는 제작자 Janus가 악영향을 높이기 위해 이름을 붙인 반면, Heartbleed와 WannaCry와 같은 악성코드의 명명법에는 흥미로운 이유가 있습니다.
하트블리드는 보안 인증서와 정보를 유출하는 취약점으로, 공격자는 하트비트와 유사한 신호를 사용하여 조직을 위협합니다. 서버는 신호를 수신하면 공격자에게 정보를 유출하여 대응합니다. 이것이 바로 '하트블리드'라는 이름이 적절한 이유입니다.
WannaCry 는 WanaCryptor의 줄임말로, Cryptoworm 랜섬웨어에서 이름을 따왔습니다. 이 위협은 보안된 하드 드라이브 내부 정보를 암호화하여 공격합니다. 정보를 암호화하고 비트코인 결제를 받을 때만 키를 넘겨주는 웜의 이름은 WannaCry입니다.
CryptoLocker 트로이 목마는 플랫폼과 기능에 따라 이름이 정해지는 또 다른 악성코드입니다. 이 위협은 Windows OS를 표적으로 삼아 기밀 및 중요 데이터 세트를 암호화합니다.
그 외에도, 무작위로 명명된 ZeuS 트로이 목마가 있습니다. 이 트로이 목마는 Zbot 패키지 형태로 제공되며, Microsoft Windows를 표적으로 삼아 다양한 범죄 활동을 수행합니다. 명명 체계에 '봇'이라는 단어가 존재한다는 것은 이러한 유형의 취약점이 드라이브인 다운로드와 다양한 피싱 수법을 통해 확산된다는 것을 보여줍니다. 더욱이, 이 악성코드에 이처럼 거창한 이름이 붙은 것은 IT 네트워크에 미치는 영향을 시사합니다.
OSX 또는 Tsunami.A라는 또 다른 악성코드는 여러 가지 위협을 야기하며, 명명법은 기존 표준을 따릅니다. 이 악성코드는 Linux 시스템에 미치는 영향을 기반으로 명명되었습니다. .A라는 변종 문자는 이 악성코드가 꽤 오랫동안 존재해 왔음을 보여줍니다. 또한, 이 악성코드는 IRC 봇으로, 감염된 시스템에서 DDoS 공격을 쉽게 시작하고 셸 또는 터미널 명령을 실행할 수 있습니다.
추론
악성코드와 취약점에 이름을 붙이는 것은 보기만큼 간단하지 않습니다. 정확한 프로세스를 결정하는 몇 가지 기준이 있으며, 이를 통해 사용자는 홍보 측면에서 해당 악성코드를 연구할 수 있습니다. 마지막으로, 관심을 끌기 위해 강력한 이름을 붙인 악성코드와 트로이 목마도 많습니다.
귀사의 IT 보안 파트너로서, 시크라이트 지능형 사이버 위협으로부터 포괄적인 엔드포인트 보안을 제공합니다. 자세한 내용은 당사 웹사이트를 방문하세요. 웹 사이트 or
