Windows에서 자동 실행 맬웨어가 발생하는 방식 및 그 방법 (대부분)
나쁜 디자인 결정 덕분에, AutoRun은 한때 Windows의 거대한 보안 문제였습니다. AutoRun은 컴퓨터에 디스크와 USB 드라이브를 넣 자마자 악성 소프트웨어를 유용하게 허용했습니다..
이 결함은 맬웨어 제작자가 악용 한 것이 아닙니다. Sony BMG에서 음악 CD의 루트킷을 숨기기 위해 널리 사용되었습니다. 악의적 인 Sony 오디오 CD를 컴퓨터에 삽입하면 Windows가 자동으로 루트킷을 실행하고 설치합니다..
자동 실행의 기원
AutoRun은 Windows 95에 도입 된 기능이었습니다. 컴퓨터에 소프트웨어 디스크를 삽입하면 Windows에서 자동으로 디스크를 읽고, 디스크의 루트 디렉토리에 autorun.inf 파일이 있으면 자동으로 프로그램을 시작합니다 autorun.inf 파일에 지정됨.
소프트웨어 CD 또는 PC 게임 디스크를 컴퓨터에 넣으면 자동으로 옵션이있는 설치 프로그램이나 시작 화면이 시작됩니다. 이 기능은 이러한 디스크를 사용하기 쉽게 만들어 사용자의 혼란을 줄 이도록 설계되었습니다. 자동 실행이없는 경우 사용자는 파일 브라우저 창을 열고 디스크를 탐색 한 다음 대신에 setup.exe 파일을 실행해야합니다.
이것은 한동안 꽤 효과적이었고 큰 문제는 없었습니다. 결국 가정용 사용자는 CD 버너가 널리 보급되기 전에 자신의 CD를 쉽게 만들 수 없었습니다. 정말로 상업용 디스크를 보았을뿐입니다. 일반적으로 신뢰할 만했습니다..
그러나 AutoRun이 도입되었을 때 Windows 95에서도 플로피 디스크를 사용할 수 없었습니다. 결국, 원하는 파일을 플로피 디스크에 둘 수 있습니다. 플로피 디스크의 자동 실행은 멀웨어가 플로피에서 컴퓨터로 플로피에서 컴퓨터로 확산되도록합니다.
Windows XP에서 자동 실행
Windows XP는 "자동 실행"기능으로이 기능을 개선했습니다. 디스크, USB 플래시 드라이브 또는 다른 유형의 이동식 미디어 장치를 삽입하면 Windows는 내용을 검사하고 조치를 제안합니다. 예를 들어, 디지털 카메라의 사진이 포함 된 SD 카드를 삽입하면 사진 파일에 적합한 것을 수행 할 것을 권장합니다. 드라이브에 autorun.inf 파일이 있으면 드라이브에서 자동으로 프로그램을 실행할지 묻는 옵션이 표시됩니다.
그러나 Microsoft는 여전히 CD가 동일하게 작동하기를 원했습니다. 따라서 Windows XP에서 CD 및 DVD는 autorun.inf 파일이있는 경우 자동으로 프로그램을 실행하거나 오디오 CD 인 경우 자동으로 음악 재생을 시작합니다. 그리고 Windows XP의 보안 아키텍처로 인해 이러한 프로그램은 관리자 액세스로 시작됩니다. 다른 말로하면, 그들은 당신의 시스템에 완전히 접근 할 수 있습니다..
autorun.inf 파일이 포함 된 USB 드라이브를 사용하면 프로그램이 자동으로 실행되지 않지만 자동 실행 창에 옵션이 나타납니다..
이 동작을 계속 비활성화 할 수 있습니다. 운영 체제 자체, 레지스트리 및 그룹 정책 편집기에 옵션이 있습니다. 디스크를 넣을 때 Shift 키를 누르고 있으면 Windows가 자동 실행 (AutoRun) 동작을 수행하지 않습니다..
일부 USB 드라이브는 CD를 에뮬레이션 할 수 있으며 심지어 CD는 안전하지 않습니다.
이 보호는 즉시 무너지기 시작했습니다. SanDisk와 M-Systems는 CD 자동 실행 (AutoRun) 동작을보고 자신의 USB 플래시 드라이브를 원했기 때문에 U3 플래시 드라이브를 만들었습니다. 이러한 플래시 드라이브는 컴퓨터에 연결할 때 CD 드라이브를 에뮬레이트하므로 Windows XP 시스템은 연결될 때 자동으로 프로그램을 실행합니다.
물론 CD조차도 안전하지 않습니다. 공격자는 쉽게 CD 또는 DVD 드라이브를 구울 수 있으며 재기록 가능한 드라이브를 사용할 수도 있습니다. CD가 USB 드라이브보다 안전하다는 생각은 잘못된 것입니다..
재해 1 : Sony BMG Rootkit Fiasco
2005 년 소니 BMG는 수백만 개의 오디오 CD에 Windows 루트킷을 출하하기 시작했습니다. 오디오 CD를 컴퓨터에 넣으면 Windows는 autorun.inf 파일을 읽고 루트킷 설치 프로그램을 자동으로 실행하여 배경에 컴퓨터를 몰래 감염시킵니다. 이 목적은 음악 디스크를 컴퓨터에 복사하거나 컴퓨터에서 추출하지 못하도록하기위한 것입니다. 이러한 기능은 일반적으로 지원되는 기능이기 때문에 루트킷은 전체 운영 체제를 제어하지 못하도록 차단해야했습니다.
이것은 AutoRun 덕분에 모두 가능했습니다. 어떤 사람들은 오디오 CD를 컴퓨터에 넣을 때마다 Shift 키를 누르고, 다른 사람은 Shift 키를 누른 채로 설치하면 루트킷이 복사 방지를 우회하는 DMCA의 우회 금지 조항을 위반하는 것으로 간주 될지 궁금해했습니다..
다른 사람들은 길고 미안한 역사를 기록했습니다. 루트킷이 불안정하다고 말하자. 맬웨어는 루트킷을 사용하여 Windows 시스템을보다 쉽게 감염시키고 소니는 공개 경기장에서 거만하고 당연한 눈을 감았습니다..
재해 2 : Conficker 웜 및 기타 맬웨어
Conficker는 특히 2008 년에 발견 된 특히 끔찍한 웜이었습니다. 다른 것들은 연결된 USB 장치에 감염되어 다른 컴퓨터에 연결될 때 자동으로 맬웨어를 실행하는 autorun.inf 파일을 생성했습니다. 바이러스 백신 회사 인 ESET이 작성한 것처럼
"자동 실행 / 자동 실행 기능으로 액세스 할 수있는 USB 드라이브 및 기타 이동식 미디어 (일반적으로 사용자가 컴퓨터에 연결할 때마다)는 요즘 가장 많이 사용되는 바이러스 통신 업체입니다."
Conficker가 가장 잘 알려졌지만 위험한 AutoRun 기능을 악용하는 유일한 멀웨어는 아닙니다. 자동 실행 기능은 사실상 멀웨어 작성자에게 선물입니다..
Windows Vista에서는 기본적으로 자동 실행을 사용할 수 없지만 ...
Microsoft는 결국 Windows 사용자가 자동 실행 기능을 해제 할 것을 권장했습니다. Windows Vista는 Windows 7, 8 및 8,1이 모두 상속 한 좋은 변경 사항을 적용했습니다..
디스크로 가장하는 CD, DVD 및 USB 드라이브에서 자동으로 프로그램을 실행하는 대신 Windows는 이러한 드라이브에 대한 자동 실행 대화 상자를 표시합니다. 연결된 디스크 나 드라이브에 프로그램이 있으면 목록에 옵션으로 표시됩니다. Windows Vista 및 이후 버전의 Windows에서는 묻지 않고 프로그램을 자동으로 실행하지 않습니다. 자동 실행 대화 상자에서 "[프로그램] .exe"실행 옵션을 클릭하여 프로그램을 실행하고 감염됩니다..
그러나 멀웨어가 자동 실행을 통해 확산 될 수 있습니다. 악의적 인 USB 드라이브를 컴퓨터에 연결하면 자동 실행 대화 상자를 통해 한 번의 클릭만으로 기본 설정으로 멀웨어를 실행할 수 있습니다. UAC 및 바이러스 백신 프로그램과 같은 다른 보안 기능으로도 사용자를 보호 할 수 있지만 여전히주의해야합니다..
불행히도 USB 장치에 대한 보안 위협이 더욱 심각해졌습니다..
원하는 경우 자동 실행을 완전히 비활성화하거나 특정 유형의 드라이브에만 사용할 수 있으므로 이동식 미디어를 컴퓨터에 삽입 할 때 자동 실행 팝업이 표시되지 않습니다. 제어판에서 이러한 옵션을 찾을 수 있습니다. 제어판의 검색 상자에서 "자동 재생"에 대한 검색을 수행하여 검색하십시오..
이미지 크레디트 : Flickr의 aussiegal, Flickr의 m01229, Flickr의 Lordcolus
