취약점에 해당하는글 10


카스퍼스키가 최근 어도비플래시를 중심으로 한 취약점악용을 막을 수 있는 기술특허를 확보했다. 어도비플래시는 2015년 가장 많이 악용되는 프로그램으로 선정되는 등 사이버보안 측면에서 위험한 프로그램으로 악명이 높다. 자바, 어도비리더, 마이크로소프트 오피스 및 실버라이트 등 다른 프로그램도 취약점악용이 많지만 플래시의 경우 널리 사용되고 취약점의 영향이 중대할 뿐 아니라 사용자의 의한 업데이트가 소극적이라는 점으로 인해 압도적으로 높은 위험성을 가지고 있다.


컴퓨터를 감염시키는 과정은 크게 두 가지가 있다. 먼저 사용자의 직접적인 행동이 개입되는 과정으로 실행파일 다운로드 및 실행, 악성매크로가 포함된 문서 열기, 악성링크 클릭 등이 있다. 한편  범죄자 측에서 운영체제나 프로그램 등의 취약점을 발견하고 악용하는 방식의 경우에는 별도로 사용자의 행동이 요구되지 않는다. 예를 들어 웹브라우저에 취약점이 있다면 악성웹페이지를 열기만 해도 해킹이 가능해진다. 컴퓨터를 감염시키기 가장 쉬운 경로는 인터넷이며 따라서 웹사이트를 통한 취약점악용이 특히 인기를 끌도 있다. 이 경우 취약점악용은 웹브라우저에 국한되지 않으며 웹사이트 멀티미디어 재생에 필요한 자바 또는 어도비플래시 구성요소도 취약점악용의 대상이 되기도 한다.

플래시 영상을 프로그램으로 열리는 파일이 아닌 프로그램 자체로 이해될 수 있다. 플래시 영상은 웹사이트의 다른 컨텐츠와 합께 다운로드되지만 어도비플래시 구성요소를 통해 독자적으로 실행된다. 이 때 어도비플래시는 안전을 위해 자체적인 가상환경에서 이들 프로그램을 실행하며 이를 통해 인터넷에서 받은 코드가 컴퓨터에서 어떤 행동을 개시하려고 해도 파일이나 문서 또는 중요 운영체제 구성요소에 접근할 수 없다.


그러나 이는 이론적으로만 타당하며 실제로는 플래시 취약점악용을 통해 플래시의 가상화 보안대책도 우회될 수 있다. 아울러 플래시 가상환경은 그 속성상 공격자의 의도를 시스템으로부터 숨길 수 있는 수단이 되기도 한다. 특히 해커가 피해자별로 고유한 파일이름을 지정하여 제각기 다른 악성코드 파일을 생성할 수도 있다. 이는 대규모 파일목록에 의존하여 맬웨어를 탐지하는 기존 안티바이러스에게 문제가 된다. 수백만에 달하는 취약점악용은 그 기본적인 방식은 똑같지만 보안솔루션 입장에서는 모두 다르게 인식되기 때문이다. 또한 어도비플래시 프로그램은 프로그래밍 언어 3종으로 제작될 수 있으며 이로 인해 정상적인 플래시 컨텐츠로부터 악성컨텐츠를 탐지해 내는 과정이 더욱 복잡해질 수 있다.


결국 파일이름 표시의 문제도 있고 가상환경을 통해서도 안전을 담보할 수 없기 때문에 보안커뮤니티에서는 근본적 문제해결에 대한 논의가 한동안 정체된 상태였다. 관건은 악성코드를 실행하기 전에 그 속성을 파악하는 방법이다.  이론적으로는 어도비플래시에 코드를 전달하기 전에 별도로 가상환경을 구동할 수도 있으나 이 방법은 상시로 사용하기에는 자원도 많이 소요되고 너무 복잡하다.


카스퍼스키 연구진 Anton Ivanov와 Alexander Liskin이 고안한 신기술은 의심코드에 대한 에뮬레이션을 토대로 하고 있으며 작은 차이점을 가진 유사 오브젝트 다수를 훨씬 빠르게 분석할 수 있다. 연구진은 가상스택머신(virtual stack machine) 접근방식을 채택하여 코드를 직접 실행하지 않고도 그에 대한 정보를 수집할 수 있는 방식을 구현했다.


악성 플래시 오브젝트는 굳이 실행되지 않더라도 본래 속성을 밝혀낼 수 있다. 카스퍼스키 신기술을 적용한다면 맬웨어 제작자가 개별 코드에 변경을 가했다 해도 원래 기획된 악성코드의  속성을 파헤칠 수 있다. 결국 플래시 취약점악용을 파악할 경우 이와 동일한 수법을 사용하는 모든 맬웨어를 자동 차단할 수 있다. 이 신기술을 카스퍼스키 솔루션에 적용한 결과 이들 위협에 대한 탐지율이 두 배 가까이 상승했다. 이 정도의 탐지율 상승은 다른 안티바이러스에서는 목격하기 힘든 수준이다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Marvin the Robot, Disarming Flash exploits, 8. 4. 2016.

https://usblog.kaspersky.com/flash-exploit-patent/7483/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.09 14:50



안드로이드 키스토어(Android KeyStore)는 안드로이드OS에서 암호화키와 사용자 계정정보를 보관하는 시스템인데 최근 보안분석가 두 명이 작성한 Breaking Into the KeyStore: A Pratical Forgery Attack Against Android Keystore라는 논문을 통해 취약점이 있다는 점이 밝혀졌다.   키스토어는 키별 할당작업을 수행하여 안드로이드 앱이 자체적인 암호화키를 보관 및 생성할 수 있도록 한다. 키스토어는 키를 격리 보관하여 기기에서 삭제되기 어렵도록 처리한다.


France Telecom Orange Labs에서 재직중인 연구원 Mohamed Sabt와 Jacques Traoré가 작성한 내용에 따르면 안드로이드 키스토어는 데이터 무결성을 보장하지 못하며 따라서 공격자가 들키지 않고 보관된 키를 변경할 수 있다고 한다. 연구진은 위조 공격으로 이러한 취약점을 악용하여 키스토어에 침입하는 과정을 시연했다고 한다. "악성앱이 다른 모바일앱으로 하여금 보안프로토콜을 적용에 취약한 키를 사용하도록 하는 공격이 가능하다.. 공격자가 들키지 않은 채 사용자 보안을 침해할 수 있다는 면에서 이는 명백한 위협이다."


연구진은 또한 어플리케이션이 키스토어에 대칭키를 보관하는 경우의 공격 시나리오를 제시하기도 했다. "예컨대 256비트 HMAC 키를 32비트 수준으로 몰래 변경하여 사용자가 실제 보안수준을 오인하도록 유도할 수 있다. 네트워크를 제어하는 외부자는 이를 악용하여 이렇게 취약한 키를 사용하는 프로토콜을 뚫어버릴 수 있다. 이 공격은 탐지되지 않은 채 진행될 수 있다는 점에서 실질적으로 중대한 위협이 될 수 있다."


연구진은 이번 연구가 보안 문제에서 직관을 믿어서는 안 된다는 중요한 사실에 방점을 찍고 있다고 설명한다. "시스템 설계자는 대체로 암호화방식을 선정할 때 입증된 안전성보다는 간결함을 기준으로 삼는 경향이 있다. 위 연구에서도 나타나듯 이는 시스템 전체에 심각한 결과를 초래할 수 있기 때문에 좋은 선택이 아니다."




VIPRE Security News, Android’s Encryption System Has Gaping Holes, Researchers Claim, 7. 18. 2016.

https://blog.vipreantivirus.com/security-news-room/androids-encryption-system-gaping-holes-researchers-claim/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.20 13:09



게시일: 2016-05-11 l 작성자: Trend Micro

2016년 4월 초 어도비 플래시 플레이어에서 발견된 제로데이 익스플로잇은(CVE-2016-1019) 곧바로 Magnitude 익스플로잇 킷에서 활용되었습니다. 이에 따라 어도비는 신속하게 패치를 배포하였습니다. 해당 취약점은 드라이브 바이 다운로드 형태의 공격으로 로키 랜섬웨어를 감염하였습니다.

하지만, 사용자들은 아직 위협에서 해방되지 않았습니다. 최근 트렌드마이크로는 이러한 공격 형태에서 특이한 변형을 확인하였습니다. 플래시 익스플로잇 이외에 윈도우의 Old Escalation of Privileges 익스플로잇(CVE-2015-1701)이 사용되어 샌드박스 기술을 우회하는 것입니다.


은밀한 악성 행위

트렌드마이크로 연구진은 해당 위협을 분석하기 위해, 네트워크 트래픽과 다운로더 파일(TROJ_LOCKY.DLDRA로 감지)을 모두 검사했습니다. 네트워크 트래픽의 경우. CVE-2016-1019 익스플로잇과 동일하였습니다. 하지만, 다운로더의 경우 독특한 커널 익스플로잇을 사용하였습니다. 해당 익스플로잇은 202[.]102[.]110[.]204:80에 위치한 C&C서버와 통신하여 로키 랜섬웨어를 설치하였습니다. 이를 실행하기 위해서 작업 항목, 시스템 스레드, APC(Asynchronous Procedure Calls)와 같은 여러 커널 단위 시스템 메커니즘을 사용하기 때문에 신규 파일이 형성되지 않고, 이에 따라 악성코드가 탐지되지 않고 시스템에 설치 되는 것입니다.

다운로더는 또한 런타임에서의 악성행위를 감추고, 윈도우가 다양한 서비스를 호스트하기 위해 사용하는 시스템 프로세스인 svchost.exe를 손상시킵니다. 또한 익스플로잇을 실행하기 전, 사용 중인 윈도우 버전과 취약한 파일(win32k.sys)이 수정된 시기를 확인하여 탐지 가능성을 최소화합니다.

해당 익스플로잇은 탐지를 피하기 위해서 사용되는 것으로 파악되며, 특히 샌드박스 기술을 이용하는 탐지 기술을 우회하기 위한 목적으로 활용되고 있습니다. 추가적으로, 해당 커널 익스플로잇에 기반한 클로킹 행위는 악성코드분석과 샌드박스 검출이 어렵도록 합니다. 분석 중 발견된 코드 브랜치(code branch)는 차후 윈도우 버전에 다른 종류의 커널 익스플로잇이 사용될 수 있다는 것을 의미합니다.

로키 다운로더 개요

TROJ_LOCKY.DLDRA는 악성행위를 숨기기 위해 커널 익스플로잇을 활용하는 것 외에는 다른 다운로더와 동일하게 작동합니다. 하단 그림은 로키 다운로더의 처리 순서에 대한 개요입니다:


그림1. 다운로더 처리순서 개요

트렌드마이크로의 분석에 따르면, 샘플 악성코드는 다양한 안티 디버그 트릭(Anti-Debug Trick)과 뉴 패킹 방법(New Packing Method)을 가지고 있습니다. 이것은 런타임에서 복호화된 API 스트링과 API 어드레스 구축을 포함합니다.

부모/초기 프로세스는 임의 생산된 커맨드 라인 파라미터(command-line parameter)를 포함한 포크/자식 프로세스를 생성하는 것만을 담당합니다. 자식 프로세스는 사용 중인 OS 버전을 확인한 뒤, 시스템이 취약할 경우,CVE-2015-1701 취약점을 활용하여 공격합니다. 이런 경우, svchost.exe는 악성 APC의 영향을 받아 C&C 서버로 연결되어, 로키 랜섬웨어를 다운로드하게 됩니다. 트렌드마이크로는 최종 페이로드를 RANSOM_LOCKY.PUY로 탐지하였습니다.

취약점 유발

자식 프로세스가 실행되면, 사용 중인 OS 버전을 확인하여 상위 말한 취약점이 패치되어 있지 않은지 확인합니다. 만약 그럴 경우, 공격이 가능합니다. 패치가 된 상황이더라도 다운로더는 클로킹 기술 없이 직접적으로 C&C서버와 연결합니다.

버그를 유발하기 위해 다운로더는 먼저 user32.dll!afnDispatch 디스패치 테이블의 ClientCopyImage를 DetourClientCopyImage와 연결합니다. 마이크로소프트에서 제공하는 역 호출(Reverse Call Back)로 해당 API는 USER32!CreateWindowEx가 호출 될 때, 함께 호출될 수 있습니다.


그림 2. DetourClientCopyImage의 슈도코드(Pseudocode)

SetWindowLongA 가 실행되면, Fake_WinProc_exploit_403A90 (악성 페이로드 코드 포함)가 커널 권한으로 실행됩니다. 물론, 이는 정상적이지 않은 행동입니다.


그림 3. 취약점이 유발되는 BeginExploit_403C42의 슈도코드

상위 슈도코드는 CVE-2015-1701이 CreateWindowExA 호출로 어떻게 유발되는지 보여줍니다.


그림 4. 사용자 모드 페이로드가 커널로 실행될 때의 콜 스택(Call Stack)

상위 콜 스택(Call Stack)은 사용자모드에서 준비된 페이로드 바이너리가 커널 호출의 win32k!xxxSendMessage 기능으로 Fake_WinProc_exploit_403A90 에서 어떻게 실행되는지 보여줍니다.

(익스플로잇) 트레이드 트릭

커널 취약점이 유발된 경우, 다운로더는 다양한 기술을 활용하여 악성 행위를 숨깁니다. 그림 1에서와 같이 자식 프로세스에서 커널 익스플로잇은 먼저 nt!ExQueueWorkItem 의 악성 작업 항목을 실행합니다. 이러한 작업 항목은 성능이 향상되도록 관리되고 예정되어 있습니다.

악성 작업 항목 루틴이 스레드 스케줄러(Thread Scheduler)로 호출되면, 커멘드 라인에 “–k netsvcs” 파라미터가 포함된 svchost.exe 프로세스를 찾기 위해 모든 시스템 프로세스를 실행합니다. 그 후, svchost.exe에 붙어 메모리를 할당하여 악성 코드를 복사합니다. 최종적으로 이 과정에서 사용자 모드 APC를 전달합니다.

설계된 바와 같이, 사용자 모드 APC는 표시된 프로세스/스레드 상황 또는 svchost 프로세스에서만 실행됩니다. svchost 프로세스가 악성 APC에 노출되면, 새로운 스레드를 추가합니다. 이 신규 스레드는 특수 API 호출을 사용하여 다른 페이로드를 다운로드 합니다.


그림 5. svchost에서 원격 삽입된 스레드가 C&C서버로 연결할 때의 콜 스택 스냅샷

대책

다운로더는 복잡하고 은밀한 기술을 이용하여 C&C 로 연결합니다. 악성 루틴을 숨기기 위해 정상적인 시스템 행위 뒤에 숨어 화이트 리스트 되거나 방어를 우회하는 것으로 파악됩니다.

커널 익스플로잇과 이로 인해 발생하는 행위에 주의를 기울이는 사람은 적기 때문에 다운로더가 이러한 기술을 사용하는 것으로 추측할 수 있습니다. 추가적으로, 작업 항목, APC, 시스템 스레드와 같이 시스템에서 제공한 매커니즘을 활용하기 때문에 악성 행위로 분석하지 않는 경우가 나타납니다.

반면, svchost 프로세스는 마이크로소프트 프로세스의 다양한 서비스를 제공해야 하기 때문에 외부 네트워크로 연결하는 것을 정상으로 판단합니다. 네트워크 트래픽을 숨기는 것은 이상적으로 여겨진다. 따라서, 네트워크 트래픽을 숨기는 것은 이상적으로 여겨집니다.

트렌드마이크로는 사용자들이 PC의 어도비 플래시를 최신 버전으로 업데이트 할 것을 권장합니다. 소프트웨어를 항상 최신 버전으로 유지하는 것은 익스플로잇 공격에서 시스템을 보호할 수 있는 좋은 방법입니다. 또한 데이터를 주기적으로 백업해야 하며, 랜섬웨어의 공격을 받더라도 돈을 지불하지 않아야 합니다. 돈을 지불하는 것이 파일 복구를 보장하는 것이 아니기 때문입니다.

트렌드마이크로 Deep Security는 다음의 DPI룰을 이용하여 취약점을 이용한 공격에 대응하고 있습니다.

  • 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

TippingPoint 고객들은 CVE-2016-1019를 이용한 익스플로잇에서 다음 Mainline DV 필터를 이용하여 보호받고 있습니다:

  • 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability/li>

트렌드마이크로 Deep Discovery는 업데이트가 없이도 제로데이 공격을 자주 탐지합니다.


원문: Locky Ransomware Spreads via Flash and Windows Kernel Exploits




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


로키 랜섬웨어 : 플래시와 윈도우 커널 익스플로잇을 통해 확산

https://www.trendmicro.co.kr/kr/blog/locky-ransomware-spreads-flash-windows-kernel-exploits/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.12 15:06


 

취약점악용(exploit) 방지 프로그램은 플래시나 브라우저 취약점 악용 그리고 각종 신종 취약점악용을 활용하는 사이버공격수법을 차단함으로써 추가 보안대책을 제공한다. 여기에서는 취약점악용을 방지할 수 있는 프로그램을 소개한다. 다만 이들 프로그램을 두 종 이상 동시에 사용하는 방법은 권장하지 않는데 불필요할뿐더러 프로그램 간에 충돌이 발생할 수도 있기 때문이다.

 

 

Malwarebytes Anti-Exploit

Malwarebytes Anti-Exploit는 설치만 하면 별도의 설정이 요구되지 않아 간편하게 사용할 수 있는 프로그램이다. 무료로 사용할 수도 있고 돈을 내고 기능이 확장된 유료버전을 사용할 수도 있는데 무료버전이라 해도 기능이 상당히 우수한 편이다. 무료버전은 인터넷익스플로러, 크롬, 파이어폭스, 오페라 등 브라우저 그리고 플래시, 실버라이트, 자바 등 플러그인의 취약점악용을 방지한다. 한편 유료버전은 어도비 PDF리더, 마이크로소프트 오피스 어플리케이션 등 어플리케이션 보호 범위가 더욱 넓다(PDF리더의 경우 브라우저 플러그인으로 작동한다면 무료버전에서도 보호된다).

 

제작사 Malwarebytes에 따르면 Anti-Exploit2015년 초기에 3건의 중요 플래시 제로데이(zero-day) 공격을 성공적으로 막아냈다고 한다. MalwarebytesAnti-Exploit4중 보안대책을 적용했다고 설명한다. 64비트 운영체제에서 구동되는 어플리케이션에 대한 DEP ASLR 외에 운영체제 보안대책을 우회하는 수법과 악성 API 요청도 차단할 수 있다고 한다. 또한 어플리케시연 유형에 따라 해당 유형에서 적절하지 않다고 판단되는 행동을 보일 경우 그 행동을 차단할 수 있다고도 한다. 예를 들어 인터넷익스플로러가 윈도우에서 CreateProcess API 함수를 사용하기 시작한다면 이를 비정상적인 행동으로 보고 차단할 수 있으며 또한 크롬이나 플래시 플러그인이 허용되지 않은 파일에 대한 쓰기를 시도할 경우 이를 즉시 종료시킬 수 있다. 또한 버퍼과부하(buffer overflow) 등 널리 쓰이는 각종 공격수법도 차단할 수 있다고 한다. 안티바이러스처럼 시그내쳐(signagure) 데이터베이스를 사용하는 대신 몇몇 취약한 프로그램을 전담하여 위험한 행동을 막는 식으로 작동하며 이를 통해 신종공격이 발생할 때 시그내쳐가 수집되거나 이에 대한 패치가 생성되기 전이라도 그 공격을 막아낼 수 있다. Anti-Exploit은 보호대상 어플리케이션에 자체 DLL을 주입하는 방식으로 작동하며 이는 해당 어플리케이션에만 작용하고 시스템의 다른부분에는 영향을 주지 않는다.

 

Malwarebytes Anti-Exploit

https://www.malwarebytes.com/business/antiexploit/

 

 

마이크로소프트 EMET

마이크로소프트는 위에서 소개한 Malwarebytes Anti-Exploit 이전부터 자체적으로 EMET(Enhanced Mitigation Experience Toolkit)이라는 무료 취약점악용방지 툴을 제공해 왔다. 이 프로그램은 대규모 네트워크에서 다수 컴퓨터를 관리하는 시스템관리자를 대상으로 제작됐다. 물론 개인용 컴퓨터에서도 EMET를 설정하여 사용할 수도 있다. 기본적인 작동방식은 Malwarebytes Anti-Exploit과 유사하며 웹브라우저나 플러그인 등 위험성이 있는 어플리케이션을 보호하고 메모리악용 공격수법을 차단한다. 웹브라우저와 플러그인 외에 다른 어플리케이션도 보호할 수 있다. 다만 Malwarebytes Anti-Exploit보다는 편의성이 떨어진다는 점이 단점이라고 할 수 있겠다.


마이크로소프트 EMET

https://support.microsoft.com/en-us/kb/2458544

 

 

HitmanPro.Alert

HitmanPro.AlertMalwarebytes Anti-Exploit 그리고 EMET와 유사한 취약점악용방지 기능을 가진 프로그램이며 유료로만 제공된다. 유료제품인 만큼 메모리보호기능 등 측면에서 위에 언급한 Malwarebytes Anti-Exploit 그리고 EMET와 다소 우수할 수 있겠지만 실질적으로 이들 무료 프로그램과 성능차이게 크게 나지는 않으리라 판단된다.

 

HitmanPro.Alert

http://www.surfright.nl/en/alert

 

 

 

Chris Hoffman, Use an Anti-Exploit Program to Help Protect Your PC From Zero-Day Attacks, 7. 27. 2015.

http://www.howtogeek.com/223228/use-an-anti-exploit-program-to-help-protect-your-pc-from-zero-day-attacks/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.23 15:15


 

애플의 퀵타임 어플리케이션에서 최근 두 종의 중요 취약점이 발견됐다. 그러나 애플은 이들 취약점(ZDI-16-241 and ZDI-16-242)에 대한 보완조치는 없을 예정이며 윈도용 퀵타임은 수명종료(end of life, EoL)에 도달했음을 확정했다. 결국 애플은 앞으로 윈도용 퀵타임을 지원하지 않으며 따라서 윈도에서 퀵타임을 사용하는 사용자에게는 사이버위협이 커진 결과가 됐다.

ZDI-16-241 취약점: http://zerodayinitiative.com/advisories/ZDI-16-241/

ZDI-16-242 취약점: http://zerodayinitiative.com/advisories/ZDI-16-242/

 

현재 이들 취약점을 악용하는 적극적인 "해킹" 방법이 밝혀지지는 않았지만 사이버범죄자와 해커들이 이러한 보안취약점을 악용하여 퀵타임 사용자들에게 피해를 입히는 건 시간문제다. 미국 국토안보부는 PC 사용자들로 하여금 윈도에서 퀵타임을 삭제하라는 권고까지 내렸다. 한편 맥용 퀵타임은 지속적으로 업데이트되고 있으며 현재 위협을 야기하는 부분이 없다.

미국 국토안보부 퀵타임삭제권고 https://www.us-cert.gov/ncas/alerts/TA16-105A

 

애플은 윈도에서 퀵타임을 삭제하는 과정에 대한 단계별 안내를 다음 링크에 게시했다.

https://support.apple.com/en-us/HT205771

 

윈도에서 퀵타임파일(.mov)을 재생할 수 있는 강력한 미디어플레이어가 필요하다면 VLC 미디어플레이어를 확인해 볼 수 있다. VLC는 무료며 오픈소시인 미디어플레이어로 오늘날 미디어포맷의 대부분을 재생할 수 있다.

VLC 미디어플레이어 http://www.videolan.org/vlc/index.html

 


 

VIPRE Security News, Apple No Longer Supporting QuickTime for Windows, 4. 25. 2016.

https://blog.vipreantivirus.com/security-news-room/apple-no-longer-supporting-quicktime-windows/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.27 15:36



오늘 GFI Software가 출시한 GFI 랜가드(Languard) 신버전은 여러 랜가드 설치환경에 대해 통합 리포팅을 제공하여 제품성능을 한층 끌어올리는 새로운 웹기반 콘솔을 선보입니다. 이번 신제품 출시를 맞이하여 제품관리담장자 Ian Bugeja와의 인터뷰를 통해 GFI 랜가드 12의 신기능에 대해 보다 상세히 알아보고자 합니다.

 


Q: 이번 출시에서 주목할 만한 부분은 무엇인가요?

 

고객 피드백을 수집한 결과 수많은 기기가 연결된 사내 네트워크 어디에서나 GFI 랜가드의 기능을 완전히 살리고자 하는 분들이 많음을 알게 됐습니다. 이전 버전의 경우 수많은 기기가 여러 지점에 분산돼 있거나 대규모 IT부서를 운영하는 환경에서는 모든 클라이언트가 동일한 랜가드 서버에 접속해야 한다는 면에서 제한사항이 없지 않았습니다.

 

우리는 랜가드 12에 두 가지 기능을 도입함으로써 이를 개선하고자 했습니다. 첫째로 여러 지점에 다수의 랜가드 사이트를 설치하고 해당 데이터를 중앙 서버에서 통합 관리할 수 있도록 했습니다. 이는 두 번째 신기능인 웹콘솔과 연결되는 부분이기도 합니다. 새로운 웹콘솔은 현대적인 UI로 모든 주요 브라우저에서 지원되며 다중사용자접속과 역할기반승인 등 여러 유용한 기능을 갖추고 있습니다.

 


 

Q: 다양한 지점을 운영하는 회사에게 새로운 웹콘솔은 어떤 의미를 가지나요?

 

랜가드 웹콘솔은 여러 지점의 데이터를 열람할 수 있도록 설계됐습니다. 세계화로 인해 수많은 회사들이 지리적으로 떨어진 여러 지역에 사무실을 두고 있으며 이들은 대체로 가상네트워크를 통해 연결됩니다. 각 지점의 IT인력은 지점을 관리 및 보호하고 취약점을 차단하며 소프트웨어 패치를 최신으로 유지해야 하는 역할을 떠안고 있습니다.

 

이러한 역할 지원은 물론 이전 버전의 랜가드에서도 가능하긴 했으나 다양한 지역의 정보를 단일 콘솔로 혹은 운영부서에서 요구할 수 있는 단일 보고서로 통합할 수 있는 기능은 없었습니다. 이제는 중앙관리서버 기능을 통해 이러한 정보 통합을 구현할 수 있게 됐습니다.

 


 

Q: 확장성 향상에 대해 설명해 주세요.

 

이번 출시에서는 확장성의 지속적 개선에도 상당한 공을 들였습니다. 그 결과 데스크탑 콘솔이 보다 날렵해졌습니다. 다중사이트 설치를 통해 중앙콘솔은 최대 6만 개의 노드와 연결될 수 있으며 이를 통해 대기업도 랜가드의 우수한 기능을 최적으로 활용할 수 있습니다.

 

이를 달성하기 위해 데이터베이스를 최적화하여 그 규모를 줄이는 동시에 효율성을 개선했습니다. 이 과정에서 마이크로소프트 Access 지원이 빠지게 됐으며 이 기능은 일부 구형시스템 운영목적을 위한 업그레이드를 통해 제한적으로만 지원됩니다. 대규모 고객의 경우 규모에 따라 마이크로소프트 SQL서버나 Express 사용 그리고 SSD와 같은 고속 디스크의 활용을 권장합니다. 이러한 조합을 통해 UI가 간명해지고 빨라지는 한편 보고서 생성시간도 단축할 수 있습니다.

 


 

Q: 차기 랜가드 출시에서는 어떤 부분을 기대할 수 있을까요?

 

앞으로 몇 달 동안 웹관리콘솔을 약간 더 수정하고 여러 언어에 지원을 추가할 예정입니다. 그리고 보다 장기적으로는 웹콘솔에 기능을 추가함으로써 사용자가 웹인터페이스를 통해 랜가드 설치를 제어할 수 있도록 할 예정입니다.

 

또한 랜가드의 컨텐츠 업데이트를 전담하는 팀도 있습니다. 이는 지속적으로 진행되는 과업으로 수천 대에 달하는 에이전트에 매주 업데이트를 제공할 수 있도록 합니다. 업데이트는 끊이지 않고 지속되며 소프트웨어 신버전, 소프트웨어 패치, 신규 취약점 등이 상시로 확인되고 있습니다.

 

랜가드 12를 통해 네트워크 취약점을 검사하고 패치관리의 부담을 없앨 수 있습니다. 랜가드 신기능에는 웹기반 보고인터페이스, 보고 통합관리, 확장성, 사용자 역할 및 승인, 동시접속 등이 있으며 아래 링크를 통해 30일 동안 프로그램을 무료로 시험해 볼 수 있습니다.


GFI 랜가드 시험버전 다운로드: http://www.gfi.kr/front/php/newpage.php?code=9

 

 

 

Melanie Hart, Introducing GFI LanGuard 12 now with a web-based reporting console, 4. 21. 2016.

http://www.gfi.com/blog/introducing-gfi-languard-12-now-with-a-web-based-reporting-console/

 

번역: madfox




참고링크


<GFI 랜가드 제품안내> 


<바이퍼 등 유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.04.25 14:56

 

펄잼, 제리스프링거, 울펜슈타인 3D가 있던 90년대를 기억하는 사람이 있는가.

 

파리 오를리 국제공항은 프랑스에서 승객운송량 2위를 자랑하는 공항으로 윈도 3.1로 구동되는 컴퓨터가 악천후로 중단되는 바람에 공항운영을 멈출 수밖에 없었던 사건으로 인해 화제가 된 바 있다. 분명 윈도 3.1이라고 했다. 90년대의 향수를 맛보는 게 나쁜 건 아니고 1인칭 슈팅게임 인기몰이의 시초가 된 울펜슈타인 3D를 다시 보는 것도 재밌는 일이지만 윈도 31로 돌아가는 게 과연 좋은 생각인지는 의문스럽다.

 

위 해프닝에서 어떤 보안관련문제가 발생했다는 징후는 없었으나 구형 운영체제의 사용은 분명 생각할 구석이 있는 문제다. 오늘날의 기술사회에서 20년이 넘은 운영체제를 구동하는 건 다행히도 흔한 일은 아니며 시스템 업그레이드는 언제나 최우선 과제다. 하지만 여러 이유로 인해 구형 운영체제의 사용은 경우에 따라 필요할 때가 있다. 당장 윈도 XP를 돌리는 컴퓨터만 해도 주변에서 적지 않게 찾을 수 있다. 따라서 그렇게 구형 운영체제를 써야 할 경우에 대비할 필요가 있다.

 

만약 구형 운영체제에서 아직 벗어지나 못했거나 레거시 혹은 홈 어플리케이션을 지원하기 위해 자바나 어도비 등 인기 어플리케이션의 구형 버전을 사용할 수밖에 없을 경우 안전을 위해 다음과 같은 팁을 생각할 수 있다.

 


맞춤형 맬웨어분석 툴을 통해 식별된 위협에 대한 노출을 모니터링

 

사용자는 ThreatAnalyzer(SWSandox)와 같은 맬웨어분석 솔루션으로 여러 샌드박스 클라이언트를 모든 종류의 윈도시스템 설정에 유연하게 맞출 수 있다.

 


맬웨어샘플을 실행하고 나서 몇 분 안에 네트워크에서 정확히

어떤 시스템설정이 어떤 위협에 취약한지 확인할 수 있다.

 


ThreatAnalyzer를 통해 전체 어플리케이션 스택(가상 및 자체 환경에서의 상이한 운영체제, 서비스팩, 3자 어플리케이션, 커스텀 어플리케이션 포함)을 구현하고 악성코드를 실행하오 맬웨어가 각 시스템환경에서 정확히 어떻게 행동하는지 볼 수 있다. 맬웨어샘플을 실행하고 나서 몇 분 안에 네트워크에서 정확히 어떤 시스템설정이 어떤 위협에 취약한지 확인할 수 있으며 이를 통해 즉시 시스템격리 및 방어대책적용 조치를 통해 감염을 막을 수 있다.

 


상시 패치관리 유지

 

새로운 맬웨어가 위험할 정도로 계속 생겨나고 있으며 제3자 어플리케이션의 취약점 악용을 통핸 위협침투시도는 날로 늘어가고 있다. 하지만 더욱 놀라운 점은 패치가 배포됨에도 제때 업데이트를 하지 않는 사람들이 아주 많다는 사실이며 그 결과는 아주 좋지 못하다. 버라이존이 발행한 2015년도 데이터탈취 조사보고서(Verizon 2015 Data Breach Investigation Report)에 따르면 악용된 취약점의 99.9%는 정보보호취약점표준(Common Vulnerabilities and Exposures, CVE)이 발행된 이후 1년이 넘은 시점에서 발생했다.

 

이는 취약점이 악용되기 전에 최신 패치에 접근할 수 있었던 시간이 충분했음을 의미한다. 자바과 어도비와 같은 어플리케이션에 대한 꾸준한 업데이트 전략을 개발할 필요가 있다. 업데이트 문제 해결을 윟 패치관리 기능을 갖춘 엔드포인트 보안솔루션의 사용을 고려할 수 있다.

 


새로운 운영체제로의 마이그레이션은 쉬운 일이 아니며 때에 따라서는 기존 운영체제를 계속 사용해야 할 수도 있다(윈도 3.1은 좀 심한 경우긴 하지만). 만약 구형 운영체제에 발이 묶일 수밖에 없다면 고급 맬웨어 방어대책에 투자함으로써 시스템에서 어느 부분이 취약한지 확인하고 취약한 소프트웨어 어플리케이션과 운영체제로 인한 사이버공격을 방지지해야 한다. 이를 게을리하여 시스템중단이나 데이터탈취를 감수할 수는 없는 일이다.



 

Paris Airport’s Windows 3.1 System Failure Got Us Thinking

ThreatTrack Security CSO Blog, 11. 24. 2015.

http://www.threattracksecurity.com/blogs/cso/paris-airports-windows-3-1-system-failure-got-us-thinking-about-malware-analysis/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2015.12.04 19:01

무료로 쓸 수 있는 가장 우수한 네트워크 모니터링&분석 툴 10종을 선정하여 소개하는 영상입니다.




1. WireShark

2. Pandora FMS

3. AngryIPScanner

4. Microsoft Network Monitor

5. Fiddler

6. Network Miner

7. Capsa Free

8. Total Network Monitor

9. Xirrus WiFi Inspector

10. Zennos Core




COMMENT : 1 TRACKBACK : 0

  • L 2017.05.16 17:30

    유용한정보 감사합니다~

날짜

2015.10.13 21:26

위로가기