가상환경에 해당하는글 2


카스퍼스키가 최근 어도비플래시를 중심으로 한 취약점악용을 막을 수 있는 기술특허를 확보했다. 어도비플래시는 2015년 가장 많이 악용되는 프로그램으로 선정되는 등 사이버보안 측면에서 위험한 프로그램으로 악명이 높다. 자바, 어도비리더, 마이크로소프트 오피스 및 실버라이트 등 다른 프로그램도 취약점악용이 많지만 플래시의 경우 널리 사용되고 취약점의 영향이 중대할 뿐 아니라 사용자의 의한 업데이트가 소극적이라는 점으로 인해 압도적으로 높은 위험성을 가지고 있다.


컴퓨터를 감염시키는 과정은 크게 두 가지가 있다. 먼저 사용자의 직접적인 행동이 개입되는 과정으로 실행파일 다운로드 및 실행, 악성매크로가 포함된 문서 열기, 악성링크 클릭 등이 있다. 한편  범죄자 측에서 운영체제나 프로그램 등의 취약점을 발견하고 악용하는 방식의 경우에는 별도로 사용자의 행동이 요구되지 않는다. 예를 들어 웹브라우저에 취약점이 있다면 악성웹페이지를 열기만 해도 해킹이 가능해진다. 컴퓨터를 감염시키기 가장 쉬운 경로는 인터넷이며 따라서 웹사이트를 통한 취약점악용이 특히 인기를 끌도 있다. 이 경우 취약점악용은 웹브라우저에 국한되지 않으며 웹사이트 멀티미디어 재생에 필요한 자바 또는 어도비플래시 구성요소도 취약점악용의 대상이 되기도 한다.

플래시 영상을 프로그램으로 열리는 파일이 아닌 프로그램 자체로 이해될 수 있다. 플래시 영상은 웹사이트의 다른 컨텐츠와 합께 다운로드되지만 어도비플래시 구성요소를 통해 독자적으로 실행된다. 이 때 어도비플래시는 안전을 위해 자체적인 가상환경에서 이들 프로그램을 실행하며 이를 통해 인터넷에서 받은 코드가 컴퓨터에서 어떤 행동을 개시하려고 해도 파일이나 문서 또는 중요 운영체제 구성요소에 접근할 수 없다.


그러나 이는 이론적으로만 타당하며 실제로는 플래시 취약점악용을 통해 플래시의 가상화 보안대책도 우회될 수 있다. 아울러 플래시 가상환경은 그 속성상 공격자의 의도를 시스템으로부터 숨길 수 있는 수단이 되기도 한다. 특히 해커가 피해자별로 고유한 파일이름을 지정하여 제각기 다른 악성코드 파일을 생성할 수도 있다. 이는 대규모 파일목록에 의존하여 맬웨어를 탐지하는 기존 안티바이러스에게 문제가 된다. 수백만에 달하는 취약점악용은 그 기본적인 방식은 똑같지만 보안솔루션 입장에서는 모두 다르게 인식되기 때문이다. 또한 어도비플래시 프로그램은 프로그래밍 언어 3종으로 제작될 수 있으며 이로 인해 정상적인 플래시 컨텐츠로부터 악성컨텐츠를 탐지해 내는 과정이 더욱 복잡해질 수 있다.


결국 파일이름 표시의 문제도 있고 가상환경을 통해서도 안전을 담보할 수 없기 때문에 보안커뮤니티에서는 근본적 문제해결에 대한 논의가 한동안 정체된 상태였다. 관건은 악성코드를 실행하기 전에 그 속성을 파악하는 방법이다.  이론적으로는 어도비플래시에 코드를 전달하기 전에 별도로 가상환경을 구동할 수도 있으나 이 방법은 상시로 사용하기에는 자원도 많이 소요되고 너무 복잡하다.


카스퍼스키 연구진 Anton Ivanov와 Alexander Liskin이 고안한 신기술은 의심코드에 대한 에뮬레이션을 토대로 하고 있으며 작은 차이점을 가진 유사 오브젝트 다수를 훨씬 빠르게 분석할 수 있다. 연구진은 가상스택머신(virtual stack machine) 접근방식을 채택하여 코드를 직접 실행하지 않고도 그에 대한 정보를 수집할 수 있는 방식을 구현했다.


악성 플래시 오브젝트는 굳이 실행되지 않더라도 본래 속성을 밝혀낼 수 있다. 카스퍼스키 신기술을 적용한다면 맬웨어 제작자가 개별 코드에 변경을 가했다 해도 원래 기획된 악성코드의  속성을 파헤칠 수 있다. 결국 플래시 취약점악용을 파악할 경우 이와 동일한 수법을 사용하는 모든 맬웨어를 자동 차단할 수 있다. 이 신기술을 카스퍼스키 솔루션에 적용한 결과 이들 위협에 대한 탐지율이 두 배 가까이 상승했다. 이 정도의 탐지율 상승은 다른 안티바이러스에서는 목격하기 힘든 수준이다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Marvin the Robot, Disarming Flash exploits, 8. 4. 2016.

https://usblog.kaspersky.com/flash-exploit-patent/7483/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.09 14:50

 맬웨어분석툴은 지능형 공격을 탐지할 수 있다.

 


우수한 맬웨어분석 샌드박스의 요건은 무엇인가. 이하에 네트워크 내 맬웨어의 행동을 정확히 파악하기 위해 샌드박스 솔루션에 갖춰야 할 요건을 소개한다.

 

간편성: 샌드박스는 사이버 보안대책을 복잡하게 하는 게 아니라 강화하기 위한 수단이다. 맬웨어분석툴은 맬웨어분석 프로세스를 간소화하여 효율성을 최대로 끌어올릴 수 있어야 한다.

 

가격효율성: 샌드박스가 빠르면서도 생산성을 향상사킬 수 있다면 비용절감에 도움이 된다. 가격효율이 좋은 샌드박스를 통해 시간을 절약하고 맬웨어 처리량을 늘릴 수 있다.

 

유연성: 샌드박스 커스터마이징의 유연성이 커질수록 맬웨어 노출에 대한 위험을 보다 잘 식별할 수 있다. 이상적인 커스터마이징이 제공하는 기능은 다음과 같다.

클라이언트 커스터마이징: 정해진 기기에 대한 맬웨어의 영향 그리고 해당 기기가 표적특화공격의 대상이 될 수 있는지 판단할 수 있다.

플러그인 커스터마이징: 단순한 작동/해제를 맬웨어를 작동시키는 데 그치지 않고 맬웨어의 행동을 토대로 분석 과정에서 시스템의 행동을 조작할 수 있는 샌드박스가 좋다.

맬웨어탐지규칙: 제품의 기본 탐지규칙과 맞춤형 탐지규칙을 분리하고 사용자가 직접 탐지규칙을 작성할 수 있다면 사용자 필요에 맞추어 선택의 폭을 넓힐 수 있다.

역탐지회피: 시스템에 유해한 파일이나 URL을 찾아내기 위해서는 맬웨어가 샌드박스에서 작동하고 있다는 사실을 알아채지 못하도록 해야 한다. 이렇게 보면 커널기반 솔루션이 좋은 선택이 된다.

 

종합분석기능: 직관적인 인터페이스를 통해 간편한 패턴 분석이 가능해야 한다. 샌드박스의 주된 목적은 잠재적 맬웨어의 행동을 분석하는 데 있으며 이 작업이 쉽고 빨라질수록 좋은 솔루션이다.

 

오늘날 데이터침탈사고와 사이버공격이 나날이 늘어나고 있는 상황에서 단일한 범용수단만 가지고는 맬웨어위협을 제대로 파악하기 어렵다. 특히 ThreatAnalyzer 6.0과 같이 현대화된 분석프로세스를 보유한 툴은 맬웨어분석의 효율성을 개선하고 분석결과를 신속하게 제공할 수 있다.

 

이상의 주요 특장점은 위험을 이해하고 격리된 환경에서 악성행동을 관측하는 데 도움이 될 수 있다.


ThreatTrack 샌드박스솔루션 ThreatAnalyzer 6.0에 대한 상세정보는 다음 링크 참고.

 <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

 

ThreatTrack Security CSO Blog, Five Characteristics of a Top-Notch Sandbox, 2. 29. 2016.

https://blog.threattrack.com/cso/five-characteristics-of-a-top-notch-sandbox/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.15 14:14

위로가기