본문 바로가기

IT, Security

다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지

이전 글인 다음 세대 V3, AhnLab Next V3 – 네트워크 기반 탐지에서 이어지는 글입니다.

1. 평판 기반 탐지

각각의 회사에 등록된 독립적인 네트워크는, 여러 사용자가 모여 사용하는 만큼 기하급수적으로 많은 데이터가 오고 가게 되어 있습니다. 이는 안랩에서는 ASD(Ahnlab Smart Defense)라는 이름으로 부분적으로 시행되어 왔던 시스템이기도 합니다. 물론 깊게 파고 들면 엄연히 다른 시스템이지만, 평판 기반 탐지는 ASD를 기반으로 하고 있다고 해도 좋습니다.

1-1. 장점

세상에 만들어진 모든 프로그램의 모니터링을 보안 업체가 해줄 수 있다면 더할 나위 없이 좋겠지만, 그게 불가능함을 잘 알고 있을 겁니다. 그렇다면 독자적인 네트워크를 구축하여, 그 네트워크에 해당 파일에 정보를 전송함으로써, 이미 체험한 사람들이 이 프로그램을 어떻게 생각하느냐에 대한 정보를 차곡차곡 쌓아 나갑니다.

평판 기반 탐지 기술은 미처 업체가 검출하지 못하는 파일이나, 검출할 수 없는 파일(법률적인 문제)을 우회적으로라도 판단하여 검사하고 차단할 수 있다는 점에서 좋은 이점을 갖게 되며, 프로그램 하나 하나의 평판을 매기기 때문에 다른 사용자가 이 파일을 어떻게 판단하였는지 사용자로 하여금 판단할 수 있는 계기를 갖게 됩니다.

또한 평판에 따라 '사용자가 결정'하는 것이기 때문에 나쁘더라도 반드시 삭제하는 것이 아닌, 실행과 중지 여부를 사용자가 직접적으로 선택할 수 있습니다. 즉 평판 기반 탐지는 선택사항입니다.

1-2. 단점

단도직입적으로 말해 어렵습니다. 다수의 사람이 사용한다고 하더라도 반드시 안전한 것이 아니며, 상대적으로 더 안전할 가능성이 높다는 것입니다. 반대로 필요한 프로그램의 평판이 나쁠 수도 있습니다. 이런 이유로 단순하게 보안 프로그램을 이용하려는 사용자는 다소 어렵고, 접근하기 힘듭니다.

2. 클라우드 평판 - 동작중인 프로세스

 

동작중인 프로세스의 항목들에 대한 도움말을 좀 적자면..

  • 이미지 이름 : 실행 중인 파일 이름
  • 동작 형태 : 프로세스(PE), 모듈(확장모듈)
  • 동작 시간 : 메모리에 업로드 된 이후의 시간
  • 사용자 수 : AhnLab 네트워크의 사용자 수
  • 최초 발견 : AhnLab 네트워크의 최초 발견 일 수
  • 사용자 평판 : 이 프로그램의 신뢰/차단 여부로 판단하는 평판 여부

동작중인 프로세스에서는 현재 프로세스 목록을 나타냅니다. 기본적으로 나타나는 것은 기본 시스템 프로세스(흔히 말하는 중요 프로세스)는 모두 생략 된 미확인 상태의 프로세스만 나타나 있습니다. 실제로 이미지 이름 앞을 보면 회색 아이콘이 표시되어 있는 것을 확인할 수 있습니다.

또한 우측 하단에 차단, 또는 신뢰를 선택하여 이 프로그램이 (자신이 생각하기에) 안전한지, 위험한지를 개별적으로 판단할 수 있게 되어 있습니다.

만약 차단을 하게 되면,

다음과 같은 안내창을 볼 수 있는데요. 여기에서 말하는 것처럼, 차단은 곧 삭제입니다. 단순히 클라우드 평판에 의하여 실행을 중지하는 것이 아님을 명심해야 합니다.

실제로 실행을 해보면 일단 V3는 해당 프로그램의 실행을 중지(Abort)합니다.

 

 

실제 차단 옵션으로 둘 경우 '악성코드를 차단 하였습니다.'라는 문구와 함께, 진단명이 User/Gen.Block 임을 볼 수 있습니다. 이 진단명은 V3가 아닌 사용자에 의한(User) 진단명입니다. 자신이 위험한 파일이라고 생각될 때 차단을 누르면 악성코드로 간주하겠다는 뜻입니다.

즉 해당 바이러스 이름은 사용자가 차단했다는 것을 기억해야 합니다.

2.1 모든 파일 보기 옵션

이미지 파일 왼쪽 하단에 모든 파일 보기 옵션이 있습니다. 이를 누르면 현재 메모리에 업로드 된 모든 프로세스와 모듈 파일을 전부 읽어 옵니다.

 

 

동작중인 프로세스는 잘 사용하면 잘 사용할수록 보다 더 많은 이득이 되는 기능인데, 단순한 프로세스뿐만 아닌 모듈까지 읽어 보여준다는 점에서, 루트킷의 존재 여부도 확인해볼 수 있을 것입니다. 여기에서도 평판을 기준으로 의심가거나, 아예 악성 프로그램이라고 생각되는 파일을 찾아서 차단 또는 신뢰할 수 있습니다.

평판의 기준에 대하여는 거듭 강조하지만, 주의가 요구됩니다. 사용자 평판의 경우 순전히 신뢰/차단 여부로 인한 평판 여부이기 때문에, 정상적인 파일도 평판이 나쁠 수 있습니다. 주로 확인해볼 것은 안전도 아이콘이 회색이면서, 사용자 평판도 나쁜 경우 악성으로 의심할 수 있겠습니다.

하지만 이러한 검출의 경우 임시방편이라고 생각하고, 해당 파일을 보안 업체에 보내 분석을 의뢰하여 결과를 보고 받는 형식이 더 안전하다고 볼 수 있겠습니다.

프로세스가 많은 만큼 위협 분석에서처럼 프로세스의 목록이 많은 만큼 찾기 기능을 지원했으면 어떨지 하는 아쉬움이 남습니다.

3. 클라우드 평판 - 최근 생성된 파일

 

 

최근 생성된 파일은 정의되지 않은 파일들입니다. 동작 중인 프로세스와 다르게, 현재 실행되는 프로그램을 기술한 게 아닌 어떤 파일이 만들어낸 파일에 대한 판단 결과를 볼 수 있습니다. 많은 부분이 동작 중인 프로세스와 비슷하지만 드로퍼라는 게 따로 하나 있습니다.

  • 드로퍼란, 해당 파일을 만들 게 한 장본인이라고 보면 됩니다.

예를 들어, Opera 브라우저에서 임시 파일로 000.tmp 파일을 만들었다면, 000.tmp 파일의 드로퍼는 Opera.exe가 되는 것입니다. 이는 상당히 잘 살펴 보아야 하는 것으로, 실제 악성코드가 드로퍼가 되어 어떠한 파일을 설치하는지 볼 수 있으므로, 주의 깊게 관찰할수록 건질 게 많습니다.

실제로 acrord32.exe는 AdobeReader 관련 프로그램인데, 이 프로그램이 rdlang_digsig.kor 등의 파일을 만들어냈음을 알 수 있습니다. 만약 acrord32.exe가 악성 프로그램이라면, 역추적이 상당히 간편해지겠지요. 이런 점을 십분 잘 활용하여 역추적하여 차단 또는 신뢰 처리를 하는 것이 좋습니다.

잘 보면 아시겠지만 드로퍼를 포함한 파일 이름에 모두 안전도 아이콘이 있습니다. 드로퍼가 위험한 놈인지, 미지(회색)의 놈인지 잘 판단해야 파일 이름이 좀 의심스러워도 1차 적인 판단을 할 수 있겠지요.

그러니 아이콘이 회색이면서 평판도 좋지 않으면 악성의 위험이 크다고 생각할 수 있습니다.

4. 파일 분석 보고서

여기에서 표시된 모든 프로세스 이름은 더블 클릭하여 AhnLab Next V3 파일 분석 보고서를 볼 수 있습니다. 이는 프로그램의 정보를 일목요연하게 보고 받는다고 생각하면 됩니다. 이는 자세히 기술할 문서에서 확인해보시기 바랍니다.

(*). 막간

글이 길어지므로 둘로 나누었습니다. -> 다음 세대 V3, AhnLab Next V3 사용 후기 – 평판 기반 탐지 (2)