1. 평판 기반 탐지
각각의 회사에 등록된 독립적인 네트워크는, 여러 사용자가 모여 사용하는 만큼 기하급수적으로 많은 데이터가 오고 가게 되어 있습니다. 이는 안랩에서는 ASD(Ahnlab Smart Defense)라는 이름으로 부분적으로 시행되어 왔던 시스템이기도 합니다. 물론 깊게 파고 들면 엄연히 다른 시스템이지만, 평판 기반 탐지는 ASD를 기반으로 하고 있다고 해도 좋습니다.
1-1. 장점
세상에 만들어진 모든 프로그램의 모니터링을 보안 업체가 해줄 수 있다면 더할 나위 없이 좋겠지만, 그게 불가능함을 잘 알고 있을 겁니다. 그렇다면 독자적인 네트워크를 구축하여, 그 네트워크에 해당 파일에 정보를 전송함으로써, 이미 체험한 사람들이 이 프로그램을 어떻게 생각하느냐에 대한 정보를 차곡차곡 쌓아 나갑니다.
평판 기반 탐지 기술은 미처 업체가 검출하지 못하는 파일이나, 검출할 수 없는 파일(법률적인 문제)을 우회적으로라도 판단하여 검사하고 차단할 수 있다는 점에서 좋은 이점을 갖게 되며, 프로그램 하나 하나의 평판을 매기기 때문에 다른 사용자가 이 파일을 어떻게 판단하였는지 사용자로 하여금 판단할 수 있는 계기를 갖게 됩니다.
또한 평판에 따라 '사용자가 결정'하는 것이기 때문에 나쁘더라도 반드시 삭제하는 것이 아닌, 실행과 중지 여부를 사용자가 직접적으로 선택할 수 있습니다. 즉 평판 기반 탐지는 선택사항입니다.
1-2. 단점
단도직입적으로 말해 어렵습니다. 다수의 사람이 사용한다고 하더라도 반드시 안전한 것이 아니며, 상대적으로 더 안전할 가능성이 높다는 것입니다. 반대로 필요한 프로그램의 평판이 나쁠 수도 있습니다. 이런 이유로 단순하게 보안 프로그램을 이용하려는 사용자는 다소 어렵고, 접근하기 힘듭니다.
2. 클라우드 평판 - 동작중인 프로세스
동작중인 프로세스의 항목들에 대한 도움말을 좀 적자면..
- 이미지 이름 : 실행 중인 파일 이름
- 동작 형태 : 프로세스(PE), 모듈(확장모듈)
- 동작 시간 : 메모리에 업로드 된 이후의 시간
- 사용자 수 : AhnLab 네트워크의 사용자 수
- 최초 발견 : AhnLab 네트워크의 최초 발견 일 수
- 사용자 평판 : 이 프로그램의 신뢰/차단 여부로 판단하는 평판 여부
동작중인 프로세스에서는 현재 프로세스 목록을 나타냅니다. 기본적으로 나타나는 것은 기본 시스템 프로세스(흔히 말하는 중요 프로세스)는 모두 생략 된 미확인 상태의 프로세스만 나타나 있습니다. 실제로 이미지 이름 앞을 보면 회색 아이콘이 표시되어 있는 것을 확인할 수 있습니다.
또한 우측 하단에 차단, 또는 신뢰를 선택하여 이 프로그램이 (자신이 생각하기에) 안전한지, 위험한지를 개별적으로 판단할 수 있게 되어 있습니다.
만약 차단을 하게 되면,
다음과 같은 안내창을 볼 수 있는데요. 여기에서 말하는 것처럼, 차단은 곧 삭제입니다. 단순히 클라우드 평판에 의하여 실행을 중지하는 것이 아님을 명심해야 합니다.
실제로 실행을 해보면 일단 V3는 해당 프로그램의 실행을 중지(Abort)합니다.
실제 차단 옵션으로 둘 경우 '악성코드를 차단 하였습니다.'라는 문구와 함께, 진단명이 User/Gen.Block 임을 볼 수 있습니다. 이 진단명은 V3가 아닌 사용자에 의한(User) 진단명입니다. 자신이 위험한 파일이라고 생각될 때 차단을 누르면 악성코드로 간주하겠다는 뜻입니다.
즉 해당 바이러스 이름은 사용자가 차단했다는 것을 기억해야 합니다.
2.1 모든 파일 보기 옵션
이미지 파일 왼쪽 하단에 모든 파일 보기 옵션이 있습니다. 이를 누르면 현재 메모리에 업로드 된 모든 프로세스와 모듈 파일을 전부 읽어 옵니다.
동작중인 프로세스는 잘 사용하면 잘 사용할수록 보다 더 많은 이득이 되는 기능인데, 단순한 프로세스뿐만 아닌 모듈까지 읽어 보여준다는 점에서, 루트킷의 존재 여부도 확인해볼 수 있을 것입니다. 여기에서도 평판을 기준으로 의심가거나, 아예 악성 프로그램이라고 생각되는 파일을 찾아서 차단 또는 신뢰할 수 있습니다.
평판의 기준에 대하여는 거듭 강조하지만, 주의가 요구됩니다. 사용자 평판의 경우 순전히 신뢰/차단 여부로 인한 평판 여부이기 때문에, 정상적인 파일도 평판이 나쁠 수 있습니다. 주로 확인해볼 것은 안전도 아이콘이 회색이면서, 사용자 평판도 나쁜 경우 악성으로 의심할 수 있겠습니다.
하지만 이러한 검출의 경우 임시방편이라고 생각하고, 해당 파일을 보안 업체에 보내 분석을 의뢰하여 결과를 보고 받는 형식이 더 안전하다고 볼 수 있겠습니다.
프로세스가 많은 만큼 위협 분석에서처럼 프로세스의 목록이 많은 만큼 찾기 기능을 지원했으면 어떨지 하는 아쉬움이 남습니다.
3. 클라우드 평판 - 최근 생성된 파일
최근 생성된 파일은 정의되지 않은 파일들입니다. 동작 중인 프로세스와 다르게, 현재 실행되는 프로그램을 기술한 게 아닌 어떤 파일이 만들어낸 파일에 대한 판단 결과를 볼 수 있습니다. 많은 부분이 동작 중인 프로세스와 비슷하지만 드로퍼라는 게 따로 하나 있습니다.
- 드로퍼란, 해당 파일을 만들 게 한 장본인이라고 보면 됩니다.
예를 들어, Opera 브라우저에서 임시 파일로 000.tmp 파일을 만들었다면, 000.tmp 파일의 드로퍼는 Opera.exe가 되는 것입니다. 이는 상당히 잘 살펴 보아야 하는 것으로, 실제 악성코드가 드로퍼가 되어 어떠한 파일을 설치하는지 볼 수 있으므로, 주의 깊게 관찰할수록 건질 게 많습니다.
실제로 acrord32.exe는 AdobeReader 관련 프로그램인데, 이 프로그램이 rdlang_digsig.kor 등의 파일을 만들어냈음을 알 수 있습니다. 만약 acrord32.exe가 악성 프로그램이라면, 역추적이 상당히 간편해지겠지요. 이런 점을 십분 잘 활용하여 역추적하여 차단 또는 신뢰 처리를 하는 것이 좋습니다.
잘 보면 아시겠지만 드로퍼를 포함한 파일 이름에 모두 안전도 아이콘이 있습니다. 드로퍼가 위험한 놈인지, 미지(회색)의 놈인지 잘 판단해야 파일 이름이 좀 의심스러워도 1차 적인 판단을 할 수 있겠지요.
그러니 아이콘이 회색이면서 평판도 좋지 않으면 악성의 위험이 크다고 생각할 수 있습니다.
4. 파일 분석 보고서
여기에서 표시된 모든 프로세스 이름은 더블 클릭하여 AhnLab Next V3 파일 분석 보고서를 볼 수 있습니다. 이는 프로그램의 정보를 일목요연하게 보고 받는다고 생각하면 됩니다. 이는 자세히 기술할 문서에서 확인해보시기 바랍니다.
4. 클라우드 평판 알림
단순히 사용자가 신뢰/차단한 것만 그치지 않고, 평판 필터링에 의하여 실시간으로 검사한 프로그램을 V3가 실행을 물어볼 때가 있습니다. 악성인지 확인되지는 않았지만, 안정성이 의심되는 파일을 다음과 같이 차단하게 됩니다. 이는 매우 중요한 기능입니다.
'안정성이 확인되지 않은 파일 실행을 탐지하였습니다.'라는 문구와 함께 파일 경로, 평판 정보를 같이 보여줍니다. 해당 파일은 악성인지 확인은 되지 않았지만, 평판 필터링(후술)에 부합하지 못해 V3가 알림을 내놓는 것입니다. 주의 깊게 보아야 할 것은
- 신뢰 및 차단 정책에 추가
인데, 자동으로 체크 되어 있기 때문에 한번만 할 경우 체크 해제하는 것이 좋습니다. 만약 차단을 하게 되면
라는 문구와 함께 실제로 해당 파일을 삭제해 버리게 됩니다. 그러니 평판에서의 차단이 단순히 실행을 차단하는 것이 아니라는 점을 정확하게 알고 있어야 합니다. 일단 판단하기 전에 파일 경로 부분을 클릭하여 '파일 분석 보고서'를 참고하거나, 파일 평판 정보를 보고 실행할 것인지, 삭제할 것인지 정해야 합니다.
클라우드 평판 알림의 경우 일정 시간이 지나면 자동으로 파일의 실행을 중지 해 버립니다. 이 경우 삭제한 것은 아니고, 단순한 위의 이미지만을 띄우며 파일 실행 자체만 막은 것이 됩니다.
급하지 않다면 VirusTotal이나 파일 분석 보고서를 조금 더 살펴본 뒤 판단하는 게 오진을 줄일 수 있는 지름길일 것입니다. X 아이콘을 누르는 것만으로도 그냥 중지가 됩니다.
이 기능은 사용자가 클라우드 평판 부분에서 수동으로 검출하여 사용하는 것이 아닌, V3 자체적으로 실시간으로 검사하여 탐지합니다. 따라서 별도의 설정이 전혀 필요 없습니다. 일단 '경고를 띄우는 것만으로도' 내키지 않는 어떠한 행동을 하고 있다고 봐도 무방합니다.
따라서 이 기능을 잘 활용하기 위해서는 파일 분석 보고서와 전후 상황을 잘 판단하여 결정하는 것이 좋습니다.
5. 환경 설정
프로그램 설정 부분에서도 알 수 있었지만, 클라우드 평판은 사용하지 않을 수 있습니다. 단, 사진에도 써 있듯 실시간 보호 기능을 사용 해야 동작합니다. 실시간 보호 기능을 사용하지 않으면 자동으로 클라우드 평판도 비활성화 되며, 실시간 보호 중지 상태에서 클라우드 기능을 활성화 할 경우 실시간 보호도 자동으로 활성화 됩니다.
평판 기반 탐지라는 게 기준이 없으면 동작할 수 없음은 조금만 생각해도 알 수 있습니다. 30만 명이 사용해도 위험할 수 있고, 10명이 사용해도 안전할 수 있는 만큼, 단순한 사용자 수만으로 판단할 수 없기 때문에, V3는 '의심 행위'라는 규칙을 정해 놓았습니다.
- 최초 발견
- 사용자 수
- 의심 행위
- 탐지할 의심 행위
다음 기준에 부합할 경우, 사용자에게 실행 또는 차단을 물어보게 됩니다. 여기에서 가장 판단에 직접적인 영향을 줄 수 있는 것은 '의심 행위' 부분입니다. 최초 발견과 사용자 수는 크게 중요하지 않습니다.
탐지할 의심 행위는 기본적으로 전부 체크 되어 있고 굉장히 목록이 많습니다. 모두 다 진짜 의심할 만한 항목을 기준으로 되어 있기 때문에, 혹시 리스트를 수정하고 싶다면 모두 체크 한 상태에서 불필요한 것을 체크 해제 하는 형식으로 하는 것을 추천합니다. 필터링에 의해 부합한 결과는 4번과 같이 알림을 띄울 것입니다.
실시간 감시에서 신뢰 및 차단한 결과는 이 곳에도 동일하게 반영됩니다.
6. 평판 기반 탐지
지금까지 평판 기반 탐지 항목에 대하여 알아 보았습니다. 평판 기반이라고 하여도 2가지 방식으로, 첫째는 V3 를 이용해 자신이 직접 의심 가는 파일과 프로세스 등을 차단하거나 신뢰 설정하는 점과, 둘째 V3이 평판 기반 필터링을 통해 자동으로 실행되는 파일의 실행 여부를 묻는 방식이 있습니다.
모두 근본적으로 아이콘 색깔에 따른(회색, 청색, 적색) 안전도 분류와 사용자 평판 여부, 사용자 수, 최초 발견 등의 '사용자 평판 정보'가 기반되어 있으므로, 이 부분을 잘 살펴본 뒤 판단하는 것이 좋습니다. 또한 2차적으로 '파일 분석 보고서'를 통한 더 정밀한 파일 분석이 가능하오니, 이 기능을 잘 활용하여 불필요한 프로그램의 접근이나 악성 프로그램을 차단하는데 활용하시기 바랍니다.
단 평판 기반 탐지의 경우 사용자가 아는 만큼 뽑아 먹을 게 많기 때문에 사용자를 가린다는 단점은 분명히 존재합니다. 아는 만큼 보인다는 거죠. ^^;; 일종의 확장 탐지 기반입니다. 몰라도 괜찮지만, 알면 알수록 좋은 기능입니다.
출처 : http://hseui.tistory.com/536
'Security' 카테고리의 다른 글
침입탐지시스템(IDS)의 분류방식과 종류 (0) | 2014.04.08 |
---|---|
다음 세대 V3, AhnLab Next V3 – 파일 분석 보고서 (0) | 2014.03.27 |
평판(reputation)기반 탐지보안 (0) | 2014.03.27 |
시큐어 코딩 - 블랙리스트 / 화이트리스트 (0) | 2014.03.26 |
침입탐지 기법 (0) | 2014.03.17 |
댓글