Sandbox에 해당하는글 7

ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다.










ThreatAnalyzer 분석


위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다.




WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다.


변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일 가능성이 높음을 의미한다.


분석결과 두 장의 스크린샷이 잡혔다.



한편 MODIFED FILES 항목을 펼친 결과는 다음과 같다.




감염된 파일에는 .zepto라는 확장자가 붙게 된다. 위 스크린샷과 파일변경내용으로 볼 때 본 샘플은 Zepto 랜섬웨어의 변종이라고 할 수 있다.



WSF 스크립트 행동양상


C:\Windows\System32\WScript.exe (3388)를 선택하면 WSF 자체의 행동결과를 확인할 수 있다.

-



WSF는 우선 두 개의 파일(UL43Fok40ii, UL43Fok40ii.exe)을 생성하고 mercumaya.net에 대한 HTTP 접속을 개시했다.


아래는 UL43Fok40ii 바이너리 표시다.



아래는 UL43Fok40ii.exe로 PE 파일형식으로 돼 있다.



이들 두 파일을 비교해 보면 각각 용량이 208008바이트와 208004바이트로 그 차이가 4바이트에 불과한데 이를 통해 .exe 확장자가 없는 파일은 복호화를 거쳐 PE 실행파일로 만들어졌다는 추측이 가능하다.


이후 WSF스크립트가 전달인자(arguement) 321을 통해 PE 실행파일을 구동했다.





호스트 주소에 com.my라는 접미어가 들어간다는 사실로 볼 때 서버 위치는 말레이시아로 추정된다.


HTTP 헤더를 봐도 컨텐츠 용량이 208008바이트임을 볼 수 있으며 이는 앞서 본 암호화된 파일의 용량과 동일하다.

WScript.exe가 실행하 WSF 파일은 Windows PE 파일을 다운받아 복호화한 다음 실행시켰다.



다운로드 PE 실행파일


이제 UL43Fok40ii.exe에 대해 살펴본다. 아래 그림에서 판단할 수 있는정보는 다음과 같다.

•  우크라이나에 위치한 일부 정보 게시

•  수백 개의 파일에 접근

•  기본브라우저 실행(본 분석의 경우 크롬)

•  cmd.exe가 포함된 파일 삭제

•  공유폴더 접속

•  파일이 암호화된 모든 폴더에 대해 _HELP_instructions.html 안내문을 생성

•  쓰레드 10개 생성





우크라이나 사이트에 게시된 데이터는 암호화돼있는데 파일 암호화에 필요한  id와 키를 포함하고 있다 추정된다.



ThreatAnayzer 분석결과를 통해 1차(raw) 데이터는 16진법 표시로 볼 수 있다. 1차 데이터를 부분적으로 변환한 결과는 다음과 같다.



아울러 여러 파일의 이름이 변경됐다. 파일이 암호화되는 과정에서 GUID filename을 통해 암호화된 파일 명칭의 접미부분에 .zepto를 붙게 된다.



파일검색을 보면 드라이브 루트 디렉토리로 들어가기에 앞서 연락처 파일를 먼저 노리게 된다.



아래는_HELP_instructions.bmp 파일의 컨텐츠를 보여주는 스크린샷이다.



본 맬웨어 샘플은 구동 중인 실행파일을 Temp 폴더의 파일로 옮기려 한다.



기본브라우저로 설정된 크롬을 통해 바탕화면에 생성된 _HELP_instructions.html이 열린다.

또한 Temp 폴더의 맬웨어 사본이 삭제되는데 이는 사후정리 과정의 하나로 생각된다.


_HELP_instructions.html을 브라우저에서 열면 아래와 같이 나타난다.



Chrome.exe 하부의 프로세스요청트리는 Zepto 악성코드와는 별개로 브라우저에 의해서만 개시됐을 가능성이 높다.




랜섬웨어 방지


오늘날  Zepto와 같은 랜섬웨어의 배후세력은 기업과 정부기관을 침투하기 위해 다양한 방법을 공격적으로 모색하고 있으며 본 사례는 랜섬웨어에 흔히 쓰이는 자바스크립트나 오피스 매크로에서 벗어나 WSF 첨부물을 필터링하지 않는 이메일 게이트웨이 통과를 시도했던 경우에 해당한다.


랜섬웨어와 같은 정교한 위협의 피해를 막기 위해서는 VIPRE Endpoint Security와 같은 지능형 엔드포인트 보안솔루션, ThreatAnalyzer와 같은 맬웨어행동분석툴, ThreatSecure와 같은 사이버공격 방어솔루션 등의 솔루션이 필요하며 중요 데이터를 주기적으로 백업해야 한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스> 


<참고: VIPRE 엔드포인트 보안솔루션> 





ThreatTrack Security Labs, Zepto Ransomware Packed into WSF Spam, 7. 25. 2016.

https://blog.threattrack.com/ransomware-packed-into-wsf-spam/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.27 14:39


드박스 기술이란 프로그램을 격리하여 해당 프로그램이거나 악성이거나 오작동할 경우 컴퓨터 전체에 대한 위해나 정보탈취를 차단하는 보안기술을 의미한다. 샌드박스는 프로그램 실행이 엄격히 통제되는 환경으로 어떤 코드가 작동 가능한 범위를 제한하고 악용될 수 있는 승인을 제외한 채 필요최소한의 승인만 부여한다. 오늘날에는 상당수의 소프트웨어에 샌드박스 기술이 적용돼 있으며 또한 사용자가 자체적으로 샌드박스 환경을 구현하여 안전하게 소프트웨어를 실험 또는 분석해 볼 수도 있다.

 

 

샌드박스 기술 적용항목

 

웹페이지 샌드박스: 기술이 적용되는 가장 단적인 예로 웹페이지가 있는데 이 경우 사용자가 방문하는 웹페이지는 기본적으로 샌드박스를 통해 열람된다. 웹페이지는 브라우저 내에서만 작동하며 사용자 승인 없이는 웹캠에 접근할 수 없거나 컴퓨터의 로컬 파일을 읽을 수 없는 등 리소스 접근이 제한된다. 따라서 웹페이지가 자바스크립트 코드를 실행할 수 있다 해도 이 코드는 예를 들어 컴퓨터의 로컬 파일에 접근하는 등의 행동을 할 수 없기 때문에 컴퓨터에 위해를 가하는 것이 불가능하다. 만약 웹사이트가 샌드박스를 통해 시스템 전체와 격리되지 않는다면 악성웹사이트 방문은 위에 언급한 자바스크립트 실행 등으로 인해 바이러스를 직접 설치하는 경우만큼이나 위험할 수 있다.


 

브라우저 플러그인 콘텐츠: 어도비 플래시나 마이크로소프트 실버라이트와 같이 브라우저 플러그인으로 실행되는 콘텐츠 또한 샌드박스에서 실행된다. 예를 들어 플래시로 게임을 실행할 경우 플래시가 그 게임을 시스템 전체로부터 격리시키고 활동범위를 제한하기 때문에 웹페이지에서의 게임 실행이 게임을 다운로드하여 실행하는 방법보다 안전하다. 브라우저 플러그인은 플러그인 보안취약점을 악용하여 샌드박스 기술을 회피하려는 사이버공격에 끊임없이 노출되며 자바의 경우가 특히 그렇다.

 

PDF 등 문서: 어도비리더는 PDF 파일을 샌드박스에서 구동하여 해당 파일이 PDF 뷰어를 벗어나 컴퓨터에 위해를 가하는 것을 방지한다. 마이크로소프트 오피스 또한 위험한 매크로가 시스템에 해를 끼치지 못하도록 하는 샌드박스 모드를 지원한다.

 

브라우저 등 위험가능성 있는 어플리케이션: 웹브라우저들 자체도 샌드박스 내부에서 실행된다. 그 예로 구글 크롬과 마이크로소프트 인터넷 익스플로러가 있으며 모질라 파이어폭스의 경우 본래 샌드박스 기능을 지원하지 않았지만 2016년 샌드박스 기술 적용이 결정됐다. 이들 브라우저는 보안을 위해 컴퓨터 전체에는 접근할 수 없으며 제한된 승인만 받은 채 작동한다. 그러므로 만약 어떤 웹페이지가 웹브라우저의 보안취약점을 악용하여 웹브라우저를 장악한다 해도 브라우저 외부의 샌드박스를 다시 돌파해야만 컴퓨터에 공격을 가할 수 있다.

<참고>모질라 파이어폭스 샌드박스 기술 적용 보도

http://www.myce.com/news/firefox-finally-gets-sandboxing-improve-security-stability-performance-79102/

 

모바일앱: 모바일플랫폼은 샌드박스를 통해 앱을 구동한다. 안드로이드, iOS, 윈도8 모바일앱은 일반적인 데스크탑 어플리케이션에 비해 그 행동의 폭이 훨씬 제한된다. 이들 앱은 사용자의 위치정보에 접근하는 등의 행동을 위해서는 승인을 받아야 하며 또한 이들 앱은 서로 격리되기도 하여 어떤 앱이 다른 앱에 영향을 끼칠 수 없다.


 

윈도 프로그램: 사용자계정제어(User Account Control, UAC) 기능은 윈도 데스크탑 어플리케이션이 사용자 승인 없이는 시스템 파일을 변경할 수 없도록 제한한다는 점에서 샌드박스와 유사한 역할을 수행한다. 다만 UAC는 시스템파일 및 시스템 일반설정에 대한 접근만 제한한다는 점에서 최소한의 보호대책에 불과하다. 윈도 데스크탑 프로그램은 기본적으로 백그라운드에서 구동하면서 예컨대 사용자의 키입력 수집 등의 행동을 할 수 있기 때문이다.

 

 

직접 샌드박스 기술을 활용하는 방법

 

데스크탑 프로그램이 기본적으로 샌드박스에서 실행되지는 않으며 위에서 언급한 UAC의 경우 그 기능이 아주 제한적이다. 하지만 사용자는 아래와 같은 방법을 통해 프로그램을 실행할 때 시스템에 대한 영향을 차단할 수 있다.

 

가상머신(Virtual Machine): VirtualBoxVMWare와 같은 가상머신 프로그램은 가상 하드웨어 기기를 통해 별도의 운영체제를 실행할 수 있다. 이 운영체제는 그 자체가 샌드박스를 통해 사용자 시스템과 격리돼 있기 때문에 가상머신 외부에는 접근할 수 없다. 이렇게 가상으로 구현된 운영체제에 실제 컴퓨터와 마찬가지로 소프트웨어를 설치하고 실행시킬 수 있다. 이를 통해 맬웨어를 설치하고 분석한다든지 프로그램이 어떻게 작동하는지를 관찰할 수 있다. 가상머신 프로그램은 스냅샷(snapshot) 기능을 통해 내부 운영체제를 악성 소프트웨어 설치 전 상태로 되돌릴 수도 있다.


 

Sandboxie: 윈도 어플리케이션에 대한 샌드박스를 생성하는 윈도 프로그램으로 원하는 프로그램에 대한 격리 가상환경을 생성하여 해당 프로그램이 컴퓨터에 변경을 가할 수 없도록 한다. 위에 언급한 가상머신과 함께 소프트웨어 테스트에 유용하게 쓰일 수 있다.

<참고>Sandboxie 상세소개

http://www.howtogeek.com/howto/5219/run-apps-in-sandboxie-to-keep-your-system-secure/



<참고: ThreatAnalyzer 맬웨어분석 샌드박스> 

 



Chris Hoffman, Sandboxes Explained: How They’re Already Protecting You and How to Sandbox Any Program, 8. 2. 2013.

http://www.howtogeek.com/169139/sandboxes-explained-how-theyre-already-protecting-you-and-how-to-sandbox-any-program/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.12 17:27




이메일은 바이러스 등 악성코드가 퍼질 수 있는 주요 통로지만 오늘날 이메일은 연다고 해서 컴퓨터가 곧바로 감염되는 일은 없다. 이메일 첨부물의 위험성은 논외로 하고 이메일 본문을 보기만 하는 건 문제가 없다. 이메일 열람 자체가 위험하다는 오해는 과거 마이크로소프트 아웃룩(Outlook)이 가지고 있던 보안문제에서 비롯된 것이다.

 

이메일 열람의 위험성과 안전성

이메일 본문은 기본적으로 단순 텍스트 또는 웹페이지에 사용되는 HTML 문서로 구성된다. 브라우저를 통한 텍스트나 웹페이지 열람이 안전하듯 이메일 열람 역시 그 자체로는 위험하지 않으며 이는 Gmail, 아웃룩 등 각종 웹기반 또는 데스크탑 이메일 클라이언트의 종류에 관계없이 동일하다.

 

물론 악성이메일은 본문 자체가 아닌 링크나 첨부물을 통해 공격을 시도하며 따라서 첨부물을 열 때는 주의를 기울여야 한다. 특히 발신자를 신뢰할 수 있다 해도 해당 발신자의 계정이 침탈됐거나 조작됐을 가능성도 배제할 수 있기 때문에 .exe 실행파일과 같은 첨부물은 언제나 위험성이 따른다. 링크를 클릭하는 즉시 자동으로 다운로드되는 프로그램 또한 위험하다.


 

마이크로소프트 아웃룩은 마이크로소프트 이메일 클라이언트로서 한때 심각한 보안문제를 안고 있었다. 이메일은 단순 텍스트에서 발전하여 웹페이지를 표시하는 HTML 코드를 포함할 수 있게 됐는데 아룻룩 취약점으로 인해 이메일이 자바스크립트 코드를 실행하고 사용자 컴퓨터를 감염시킬 수 있는 여지가 발생했다. 이메일 열람 자체가 위험해진 건 바로 이 때문이었다. 하지만 이 취약점은 현재 고쳐졌으며 이제 이메일은 자바스크립트를 실행할 수 없고 이미지도 표시하지 못한다. 그러므로 이메일클라이언트, 브라우저 및 플러그인, 운영체제 등을 업데이트만 잘 챙긴다면 이메일 본문만 열람해도 위험할 일은 이제 없다.


이메일 안전사용요령

메일클라이언트, 웹브라우저, 운영체제 업데이트 최신으로 유지 사이버공격자는 소프트웨어 보안허점을 발견하여 악용하려 하기 때문에 이러한 허점을 고치는 소프트웨어 업데이트는 아주 중요하다. 구형 브라우저나 이메일클라이언트 사용은 해킹으로 이어질 수 있으며 자바 또한 삭제하거나 적어도 브라우저 플러그인을 작동 중지시켜야 한다.

안티바이러스 소프트웨어 사용 윈도우 운영체제에서 안티바이러스는 보안의 중요 축으로 보안상 실수와 소프트웨어 버그로 인한 맬웨어 감염을 방지한다.

위험성 있는 첨부물 주의 예를 들어 첨부물이 PDF 파일이라면 대체로 안전하겠으나 .exe 등 위험성 있는 유형의 파일을 받은 경우라면 해당 첨부물을 다운받으면 안 되며 발신자를 신뢰할 수 있다 해도 주의를 기울여야 한다.

링크 주의 링크 클릭 자체는 브라우저를 통해 웹페이지를 단순히 여는 데 그치기 때문에 곧바로 어떤 위험을 발생시키진 않는다. 하지만 링크가 악성웹사이트로 이어진다는 의심이 든다면 클릭을 피하고 설령 클릭했다 해도 파일을 다운받아서는 안 된다. 피싱도 주의해야 하는데 예를 들어 은행에서 발신한 듯 보이는 이메일에 포함된 링크를 클릭할 때 은행 웹사이트와 비슷하게 보이는 사이트로 이동시키는 등의 수법에 속아서는 안 되겠다.

 



Chris Hoffman, HTG Explains: Why You Can’t Get Infected Just By Opening an Email (and When You Can), 1. 30. 2013.

http://www.howtogeek.com/135546/htg-explains-why-you-cant-get-infected-just-by-opening-an-email-and-when-you-can/


번역요약: madfox

 



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.30 13:06

 맬웨어분석툴은 지능형 공격을 탐지할 수 있다.

 


우수한 맬웨어분석 샌드박스의 요건은 무엇인가. 이하에 네트워크 내 맬웨어의 행동을 정확히 파악하기 위해 샌드박스 솔루션에 갖춰야 할 요건을 소개한다.

 

간편성: 샌드박스는 사이버 보안대책을 복잡하게 하는 게 아니라 강화하기 위한 수단이다. 맬웨어분석툴은 맬웨어분석 프로세스를 간소화하여 효율성을 최대로 끌어올릴 수 있어야 한다.

 

가격효율성: 샌드박스가 빠르면서도 생산성을 향상사킬 수 있다면 비용절감에 도움이 된다. 가격효율이 좋은 샌드박스를 통해 시간을 절약하고 맬웨어 처리량을 늘릴 수 있다.

 

유연성: 샌드박스 커스터마이징의 유연성이 커질수록 맬웨어 노출에 대한 위험을 보다 잘 식별할 수 있다. 이상적인 커스터마이징이 제공하는 기능은 다음과 같다.

클라이언트 커스터마이징: 정해진 기기에 대한 맬웨어의 영향 그리고 해당 기기가 표적특화공격의 대상이 될 수 있는지 판단할 수 있다.

플러그인 커스터마이징: 단순한 작동/해제를 맬웨어를 작동시키는 데 그치지 않고 맬웨어의 행동을 토대로 분석 과정에서 시스템의 행동을 조작할 수 있는 샌드박스가 좋다.

맬웨어탐지규칙: 제품의 기본 탐지규칙과 맞춤형 탐지규칙을 분리하고 사용자가 직접 탐지규칙을 작성할 수 있다면 사용자 필요에 맞추어 선택의 폭을 넓힐 수 있다.

역탐지회피: 시스템에 유해한 파일이나 URL을 찾아내기 위해서는 맬웨어가 샌드박스에서 작동하고 있다는 사실을 알아채지 못하도록 해야 한다. 이렇게 보면 커널기반 솔루션이 좋은 선택이 된다.

 

종합분석기능: 직관적인 인터페이스를 통해 간편한 패턴 분석이 가능해야 한다. 샌드박스의 주된 목적은 잠재적 맬웨어의 행동을 분석하는 데 있으며 이 작업이 쉽고 빨라질수록 좋은 솔루션이다.

 

오늘날 데이터침탈사고와 사이버공격이 나날이 늘어나고 있는 상황에서 단일한 범용수단만 가지고는 맬웨어위협을 제대로 파악하기 어렵다. 특히 ThreatAnalyzer 6.0과 같이 현대화된 분석프로세스를 보유한 툴은 맬웨어분석의 효율성을 개선하고 분석결과를 신속하게 제공할 수 있다.

 

이상의 주요 특장점은 위험을 이해하고 격리된 환경에서 악성행동을 관측하는 데 도움이 될 수 있다.


ThreatTrack 샌드박스솔루션 ThreatAnalyzer 6.0에 대한 상세정보는 다음 링크 참고.

 <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

 

ThreatTrack Security CSO Blog, Five Characteristics of a Top-Notch Sandbox, 2. 29. 2016.

https://blog.threattrack.com/cso/five-characteristics-of-a-top-notch-sandbox/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.15 14:14


전문가 진단에 따르면 각급 기업의 사이버범죄 비용이 매년 증가추세에 있으며 글로벌 상거래가 가상공간으로 옮겨가는 현상이 지속됨에 따라 이 비용의 증가는 앞으로도 확실시되고 있다. 2015년 데이터침탈비용 연구(2015 Cosft of Data Breach)에 따르면 데이터침탈을 겪은 기업의 평균비용은 650만 달러로 늘어났다. 다른 연구에 따르면 2019년까지 데이터침탈비용 총액이 2조 달러에 달할 전망이라고 한다.

 

전문가들이 사이버범죄 차단을 위해 다양한 솔루션을 논의하는 가운데 두 가지가 확실시되고 있다. (1) 현재 경계방어기술은 지능형 지속위협 맬웨어를 상대로는 효과적이지 못하며 (2) 맬웨어의 공격력이 보안대책의 효용성보다 빠르게 성장하고 있다는 것이다. 포츈(Fortune) 매거진 선정 100대 기업과 대규모 정부기관에 대한 공격 등 첨단 보안기술과 전문가집단을 동원한 수백 건의 공격 사례로 인해 보안대책에 대한 새로운 접근이 절실해지고 있다.

 

여기에서 소개하는 맬웨어 그리고 네트워크 이상활동을 감지하기 위한 5대 핵심방안은 맬웨어 확산문제를 방지하기 위한 밑그림을 제공한다. 이들 방안은 ThreatAnalyzer(CWSandbox) 샌드박스기술을 활용한 정적 및 동적 맬웨어분석 그리고 지능형 맬웨어 수천 건에 대한 연구를 바탕으로 하고 있다. 이하에 일반적인 맬웨어 문제와 그에 대한 해결방안을 간략히 소개하고 항목별로 세부적인 내용을 기술한다.


맬웨어 행동

해결방안

네트워크활동 폭증

이상행동에 대한 기준 형성

비정상적 시스템활동 발생

맬웨어 행동단서 이해

비정상적 네트워크활동 발생

시간대별 네트워크 트래픽데이터 추적하여 이상 식별

파편화된 기업시스템 운영 악용

모든 이해관계자에게 위협탐지정보를 제공하고 해당 이상행동과 이에 대한 해결방안을 이해하도록 조력제공

보안대책 취약점 노출

다른 기업과의 정보공유 통해 업계와 회사 측 비용 최소화

 



이상행동에 대한 기준 형성

 

기업 차원에서 인간과 기계 모두에 대해 정상적 네트워크 트래픽의 기준을 수립해야 한다. 보안분석가들이 정상의 기준을 이해하고 나면 이를 통해 임계점을 설정할 수 있다. 이러한 임계점은 일반적인 한계나 상한선처럼 향후 분석에 활용될 수 있다. 공격자들은 일단 공격대상 환경에 침투하고 나면 탐지될 위험이 적다고 간주한다. 그러나 위와 같은 기준점을 수립한다면 맬웨어활동이 주목받게 될 가능성을 대폭 높일 수 있다.



맬웨어 행동단서 이해

 

정상 트래픽에 대한 기준이 수립되고 나면 다음 단계로는 맬웨어의 기본적인 행동양상에 대한 이해가 필요하다. 첫 단계에서 설정된 임계점을 돌파하는 네트워크 트래픽이나 행동은 조사개시로 이어진다. 이 조사는 시스템상 맬웨어 의심대상의 최초출현지점과 행동에 초점을 맞춘다. 맬웨어의 기본행동양상에 대한 이해는 공격자의 진로를 예상하고 차단하기 위해 아주 중요하다.

 


시간대별 네트워크 트래픽데이터 추적

 

시스템 및 인간 부문의 기준에 대한 이해가 확립되고 나면 분석가가 시간대별 네트워크트래픽을 열람하여 이상징후 그리고 더욱 중요하게는 침탈의 발생여부 그리고 예상되는 공격진행을 판단할 수 있다. 카네기멜론대학교 소프트웨어공학연구소(The Software Engineering Institute at Carnagie Mellon)에 따르면 이상행동을 추적하는 데 사용된 핵심행과지표(key performance indicator, KPI)에는 바로 사람의 행동, 시스템 및 기술적 오류, 내부프로세스 오류, 외부사건 등이 있다고 한다. 시간대별 네트워크트래픽 추적의 중요성을 보다 자세하게 다룬 내용으로는 다음 링크 참조.

https://blog.threattrack.com/cso/why-tracking-network-traffic-is-important/

 

 

모든 이해관계자에게 위협탐지정보 제공

 

보안대책들이 방화벽, IDS/IPS, 패킷수집기, 엔드포틴트솔루션 등 조직의 다층보안대책을 이루는 각 보안계층에 파편화됨에 따라 의사소통의 간극이 문제로 떠올랐다. 네트워크의 활동 및 보안 현황을 종합적으로 파악하려면 개별 보고서나 분석의 조합이 요구된다. 따라서 효과적인 보안대책을 구축하려면 보안팀이 컨설턴트로 진화하여 핵심 이해관계자에게 투자, 인력, 기술 소요에 대해 알림으로써 최적의 보안방책을 유지해야만 한다. 이에 대한 추가 내용은 다음 링크 참조.

https://blog.threattrack.com/cso/how-to-give-threat-detection-visibility-to-non-it-stakeholders/


 

다른 기업과의 정보공유 통해 전체 위험 감소

 

사이버공격자의 주요 악용대상으로 업계 경쟁자들 사이의 정보공유 실패도 빼놓을 수 없다. 동종 업계에 종사하는 기업들은 서로를 경쟁자로 인식하기 때문에 위협에 대한 정보의 공유를 꺼리게 된다. 그러나 이러한 태도는 근시안적이고 맬웨어가 개별 기업을 효과적으로 각개격파하여 결국 업계 전체에 불이익을 끼치는 결과로 이어질 수 있으며 이는 병원에 대한 랜섬웨어 공격 사례를 통해 입증됐다. 지식이란 힘이며 힘이란 곧 과거 실패에 대한 교훈을 통해 개발된 솔루션이라는 형태로 응용되는 지식을 의미한다.

 

경계보안기술과 다층보안대책에 의존해 온 보안분석가들은 기술이란 결코 완벽할 수 없으며 맬웨어는 결국 어떤 식으로든 기술적 틈을 파고들게 된다는 점을 그 어느때보다도 절감하고 있다. 기준수립, 합리적인 네트워크 및 시스템 임계점 수립, 맬웨어 행동 이해, 회사 핵심이해관계자 및 업계 동업자에 대한 협조적 접근방식 수립을 통해 나날이 증가하는 맬웨어위협에 대한 대응에 큰 도움을 받을 수 있으며 보안분석가의 효용성을 대폭 향상할 수 있다. 네트워크 이상행동 탐지에 대해 보다 상세한 내용으로는 아래 링크의 ThreatTrack 최신 기술백서 참조.

http://land.threattracksecurity.com/5-Key-Ways-to-Dectect-Anomalous-Behavior-on-Your-Network.html#_ga=1.257197451.1084892965.1463641239

 

 

 

Robert Bond, How to Detect Malware and Other Anomalous Behavior, 5. 23. 2016.

https://blog.threattrack.com/cso/detect-malware-anomalous-behavior/


번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.03 14:51



ThreatAnalyzer?

 

지능형 맬웨어위협을 밝혀내는 심층분석

ThreatAnalyzer(CWSandbox)는 앞서가는 동적 맬웨어분석 샌드박스입니다. ThreatAnalyzer는 정부보안, 국방, 정보기관 등 중요분야에서 사용되며 맬웨어를 심층분석하여 위협을 밝혀냄으로써 고객 여러분의 신속한 대응을 도와줍니다.

ThreatAnalyzer는 자유로운 설정이 가능한 플랫폼으로 고객 여러분의 어플리케이션 스택 전체(가상·자체환경 포함)를 구현할 수 있으며 여기에서 맬웨어를 실행시켜 정해진 네트워크 및 시스템설정에서의 정확한 행동을 확인할 수 있습니다. 또한 자유로운 설정이 가능한 맬웨어판정규칙으로 ThratAnalyzer를 설정하여 중요 시스템에 대한 비정상적 접근, 외부도메인으로의 데이터 반출, 사용자지정 어플리케이션 쿼리 등 의심 행동과 활동을 상시로 감지할 수 있습니다.

"표적에 특화된 맬웨어와 다층공격이 날로 정교해지면서 맬웨어분석가들이 이렇게 복잡한 공격을 이해하기 위해 샌드박스가 더욱 중요한 수단으로 떠올랐다. 맬웨어 행동을 분석하여 얻은 행동양상 등 정보는 사내 네트워크에서의 일반적 공격경로, 신종 침입수법, 사내 공격자 행동양상 등을 식별하는 데 필요한 맥락정보를 제공한다." - Rob Westervelt, IDC Corporation

맬웨어 샘플을 실행하면 몇 분 내로 어떤 시스템 설정이 어떤 위협에 취약한지 정확히 알 수 있으며 이를 토대로 시스템을 격리하고 감염방지를 위한 방어대책을 적용하는 등 위협에 즉각적으로 대응할 수 있습니다.


기 능


커스트마이징 가능한 환경

모든 시스템설정에 대한 분석 

사용자지정 파일유형 및 어플리케이션 

 

종합적 분석기능

위협정보 대시보드 

다수 분석 비교 


다양한 보고기능

PDF 보고 

HTML/XML/JSON 보고 

ZIP 압축파일 

PCAP 파일 

 

효율성 향상 및 API

샌드박스 그룹화 

리부팅 시뮬레이션에 의한 분석 

사용자 상호작용 시뮬레이션 



ThreatAnalyzer만의 경쟁력

 

앞서가는 커스터마이징

샌드박스 방식의 맬웨어분석 솔루션은 여러 종류가 있지만 사용자의 실제환경을 반영하는 샌드박스환경 커스터마이징은 ThreatAnlayzer 독보적입니다.

예를 들어 한국어 버전의 윈도 운영체제나 어도비리더를 사용하는 환경의 사용자가 한글텍스트와 관련된 맬웨어샘플을 분석할 경우 해당 샘플의 정확한 행동양상을 알아내기 위해서는 위와 같은 한국어 어플리케이션 스택을 가상환경에 똑같이 구현할 수 있어야 하며 ThreatAnalyzer는 그러한 커스터마이징이 가능한 솔루션입니다.

샌드박스방식을 채택한 국내시장 경쟁제품의 경우 실시간 맬웨어감시와 제한적 샘플분석기능에 중점을 맞춘 반면 ThreatAnalyzer는 커스터마이징 가능한 환경에서의 맬웨어 심층분석석 및 자동화를 통한 대량분석에 중점을 두고 있습니다. 이렇게 보면 ThreatAnalyzer는 국방 및 정보기관, 연구기관 등에서 맬웨어 분석 및 연구를 돕는 용도에 적합하다고 하겠습니다. 

 

자동화에 의한 대량분석

자동화를 통해 대량의 맬웨어샘플을 분석할 수 있다는 점 또한 ThreatAnalyzer의 장점입니다. 국가기관 등 보안연구소요가 높은 곳에서 ThreatAnalyzer를 사용하는 이유도 바로 여기에 있습니다.





참고

ThreatTrack 웹사이트 www.threattrack.com

ThreatTrack 국내총판 웹사이트 www.gfi.kr

문의 02 866 5709 │ sales@gfi.kr 




전체 내용은 첨부된 PDF 파일을


다운받아서 볼 수 있습니다.


ThreatAnalyzer 제품소개.pdf

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.03.21 17:11

 

펄잼, 제리스프링거, 울펜슈타인 3D가 있던 90년대를 기억하는 사람이 있는가.

 

파리 오를리 국제공항은 프랑스에서 승객운송량 2위를 자랑하는 공항으로 윈도 3.1로 구동되는 컴퓨터가 악천후로 중단되는 바람에 공항운영을 멈출 수밖에 없었던 사건으로 인해 화제가 된 바 있다. 분명 윈도 3.1이라고 했다. 90년대의 향수를 맛보는 게 나쁜 건 아니고 1인칭 슈팅게임 인기몰이의 시초가 된 울펜슈타인 3D를 다시 보는 것도 재밌는 일이지만 윈도 31로 돌아가는 게 과연 좋은 생각인지는 의문스럽다.

 

위 해프닝에서 어떤 보안관련문제가 발생했다는 징후는 없었으나 구형 운영체제의 사용은 분명 생각할 구석이 있는 문제다. 오늘날의 기술사회에서 20년이 넘은 운영체제를 구동하는 건 다행히도 흔한 일은 아니며 시스템 업그레이드는 언제나 최우선 과제다. 하지만 여러 이유로 인해 구형 운영체제의 사용은 경우에 따라 필요할 때가 있다. 당장 윈도 XP를 돌리는 컴퓨터만 해도 주변에서 적지 않게 찾을 수 있다. 따라서 그렇게 구형 운영체제를 써야 할 경우에 대비할 필요가 있다.

 

만약 구형 운영체제에서 아직 벗어지나 못했거나 레거시 혹은 홈 어플리케이션을 지원하기 위해 자바나 어도비 등 인기 어플리케이션의 구형 버전을 사용할 수밖에 없을 경우 안전을 위해 다음과 같은 팁을 생각할 수 있다.

 


맞춤형 맬웨어분석 툴을 통해 식별된 위협에 대한 노출을 모니터링

 

사용자는 ThreatAnalyzer(SWSandox)와 같은 맬웨어분석 솔루션으로 여러 샌드박스 클라이언트를 모든 종류의 윈도시스템 설정에 유연하게 맞출 수 있다.

 


맬웨어샘플을 실행하고 나서 몇 분 안에 네트워크에서 정확히

어떤 시스템설정이 어떤 위협에 취약한지 확인할 수 있다.

 


ThreatAnalyzer를 통해 전체 어플리케이션 스택(가상 및 자체 환경에서의 상이한 운영체제, 서비스팩, 3자 어플리케이션, 커스텀 어플리케이션 포함)을 구현하고 악성코드를 실행하오 맬웨어가 각 시스템환경에서 정확히 어떻게 행동하는지 볼 수 있다. 맬웨어샘플을 실행하고 나서 몇 분 안에 네트워크에서 정확히 어떤 시스템설정이 어떤 위협에 취약한지 확인할 수 있으며 이를 통해 즉시 시스템격리 및 방어대책적용 조치를 통해 감염을 막을 수 있다.

 


상시 패치관리 유지

 

새로운 맬웨어가 위험할 정도로 계속 생겨나고 있으며 제3자 어플리케이션의 취약점 악용을 통핸 위협침투시도는 날로 늘어가고 있다. 하지만 더욱 놀라운 점은 패치가 배포됨에도 제때 업데이트를 하지 않는 사람들이 아주 많다는 사실이며 그 결과는 아주 좋지 못하다. 버라이존이 발행한 2015년도 데이터탈취 조사보고서(Verizon 2015 Data Breach Investigation Report)에 따르면 악용된 취약점의 99.9%는 정보보호취약점표준(Common Vulnerabilities and Exposures, CVE)이 발행된 이후 1년이 넘은 시점에서 발생했다.

 

이는 취약점이 악용되기 전에 최신 패치에 접근할 수 있었던 시간이 충분했음을 의미한다. 자바과 어도비와 같은 어플리케이션에 대한 꾸준한 업데이트 전략을 개발할 필요가 있다. 업데이트 문제 해결을 윟 패치관리 기능을 갖춘 엔드포인트 보안솔루션의 사용을 고려할 수 있다.

 


새로운 운영체제로의 마이그레이션은 쉬운 일이 아니며 때에 따라서는 기존 운영체제를 계속 사용해야 할 수도 있다(윈도 3.1은 좀 심한 경우긴 하지만). 만약 구형 운영체제에 발이 묶일 수밖에 없다면 고급 맬웨어 방어대책에 투자함으로써 시스템에서 어느 부분이 취약한지 확인하고 취약한 소프트웨어 어플리케이션과 운영체제로 인한 사이버공격을 방지지해야 한다. 이를 게을리하여 시스템중단이나 데이터탈취를 감수할 수는 없는 일이다.



 

Paris Airport’s Windows 3.1 System Failure Got Us Thinking

ThreatTrack Security CSO Blog, 11. 24. 2015.

http://www.threattracksecurity.com/blogs/cso/paris-airports-windows-3-1-system-failure-got-us-thinking-about-malware-analysis/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2015.12.04 19:01

위로가기