좀비 컴퓨터

좀비 컴퓨터(좀비 PC, zombie computer, zombie, 좀비)는 악성코드에 감염된 컴퓨터를 뜻한다. C&C 서버의 제어를 받아 주로 DDoS공격등에 이용된다

Zombie computer.

악성코드에 감염되어 해커의 공격에 사용되는 감염PC를 뜻 한다.

상세

좀비PC는 악성파일에 감염되었지만 인지하지 못하고 해커의 공격에 사용되는 PC를 말한다. 악성 파일 유포 방식에는 웜, 바이러스, 트로이 목마 등 많은 방식이 있다 이러한 방법등을 통해 악성파일에 감염된 PC는 해커의 명령으로 인해 서비스 거부 공격, 스팸 메일유포 등에 쓰이게 되며 이들 중 사생활까지 접근하여 게임및 사이트 계정 획득, 도청, 감시등 많은 목적으로 사용된다.

제일 보편적인 방법으로 트로이 목마가 있으며 이는 특정 파일로 위장하여 P2P사이트등 보안이 취약한 사이트등에서 공유되어 악성 파일을 감염 시킨다.

좀비 PC대처 및 확인 방법

악성코드와 해커의 공격은 지금 이 순간에도 발전해 나가고 있으며 이를 대처하거나 확인할 수 있는 확실한 방법은 존재 하진 않지만 지금으로선 포맷이 가장 보편적인 방법이다

제일 훌륭한 방법은 평소 백신같은 보안 프로그램을 사용하며 올바른 인터넷 사용으로 예방을 하는게 좋다.

잘못된 확인법

인터넷에서 명령 프롬프트의 NETSTAT -n명령어를 이용한[* 포트가 8080이면 좀비PC라고 한다] 좀비PC 확인 방법이 소개되고 있는데 이는 잘못된 방법이다. netstat 명령어는 네트워크 상태와 관련정보[* 해더, 등]를 확인하는 프로그램이며 컴퓨터와 연결된 아이피와 포트 정보만을 가지고 좀비PC감염 여부를 판단하는 것은 어렵다. 그런데도 왜 이 방법을 인터넷에서 소개하는 것이라면 예전 대규모 공격에서 사용된 봇넷 포트가 8080이였기 때문이었다.

감염경로

보통 이메일의 첨부파일이나 출처가 불분명한 Active X 또는 USB 메모리 오토런등 감염경로가 매우 다양하다. 300px|right|섬네일|(1) 스팸유포자의 웹사이트 (2) 스팸유포자 (3) 스팸 (4) 감염된 PC(좀비 PC) (5) 트로이의 목마 바이러스 (6) 메일 서버 (7) 사용자 (8) 웹 트래픽

좀비의 이용

크래커들은 종종 공격의 시작점을 은닉하기 위해 좀비들을 이용한다. 이는 크래커들의 액세스 포인트를 숨기는데 도움이 된다. 다수의 좀비를 거느린 해커들은 DDos나 스팸메일 전송따위의 많은 대역폭을 요구하는 작업에 좀비를 이용한다. 특히 자기증식성이 없는 트로이목마형 바이러스의 전파 수단은 메일이므로 다량의 메일전송을 좀비들에게 맡겨 파급력을 키우기도 한다. 또한 좀비가 된 컴퓨터끼리는 네트워크가 생겨나므로 이러한 네트워크따위를 매매하여 금전적 이익을 챙기는 크래커도 존재한다.

대응

좀비 컴퓨터에 대한 근본적인 대책은 감염경로를 차단하는 것이다. 출처가 불분명한 이메일의 첨부파일, Active X, USB메모리 접근 및 불법 사이트 접속을 차단해야 한다. ^{[1] [2]} 또한 지속적인 보안 업데이트와 점검을 해야 컴퓨터가 좀비화 되는 것을 예방할 수 있다.

같이 보기

• 서비스 거부 공격
• 7.7 DDoS 공격
• 컴퓨터 보안
• 컴퓨터 웜 (웜, computer worm, worm)
• 악성 코드 (악성코드)

References