본문 바로가기

IT, Security

 (197)
다음 세대 V3, AhnLab Next V3 - 도구 이전 글인 다음 세대 V3, AhnLab Next V3 – 위협 분석 (2)에서 이어지는 글입니다. 1. 개요 AhnLab의 새로운 Next V3의 도구에 관해 알아봅니다. 도구는 이벤트 로그, 진단 로그, 검역소 등으로 이루어져 있으며, 이는 V3 시스템 전반에 대한 기록입니다. 따라서 V3의 기능에 대한 행동 로그가 아닌, V3 제품 자체에 대한 행동 로그가 기록되며, 이는 V3가 정상적으로 동작하는지 알아볼 수 있는 중요 요소로 볼 수 있습니다. 2. 이벤트 로그 V3 프로그램에 전반적으로 일어난 일을 확인할 수 있습니다. 실제 이러한 업데이트나 제품 보호의 경우, 알림 창으로 V3가 알려주기도 하는데, (알림 설정은 환경 설정에서 제어 가능) 실제 이벤트 로그는 딱히 확인할 필요가 별로 없지만, ..
다음 세대 V3, AhnLab Next V3 – 위협 분석 (2) 이전 글인 다음 세대 V3, AhnLab Next V3 – 위협 분석 (1)에서 이어지는 글입니다. 1-2. 클라우드 자동 분석 클라우드 시스템의 의의는 사용자가 상시적으로 샘플의 제공자가 된다는 것입니다. 사용자는 판단되지 않는 파일을 업체에게 전송하며, 업체는 그것을 확인하여 검출 능력에 포함시킵니다. 이는 개인정보의 활용에 있어서 다소 꺼림칙할 수 있으나, 점점 더 방대해지는 악성 코드의 특성 상 이 시스템을 활용할 경우 보다 효율적으로 높은 진단률을 얻을 수 있기 때문에 현재 대부분의 업체에서 사용하고 있는 방식이라고 볼 수 있습니다. 1-2-1. 전작과의 차이점 AhnLab의 경우 V3 365 때부터 클라우드 분석 시스템이 존재 해 왔으며, 실제 V3 Lite 등을 실행하거나, V3 365 클리..
다음 세대 V3, AhnLab Next V3 – 위협 분석 (1) 이전 글인 다음 세대 V3, AhnLab Next V3 – 행위 기반 탐지에서 이어지는 글입니다. 새로 나올 V3의 베타 버전을 살펴보고 있는 이 글에서, 이번에는 위협 분석과 도구에 대하여 살펴보겠습니다. 1. 위협 분석 위협 분석에서는 '모니터링의 결과'를 사용자에게 안내합니다. 이는 매우 편리한 기능으로, 여러 다른 기능(보고서, 방역, 평판)과 연계하여 악성 프로그램을 찾을 수 있도록 도와주곤 합니다. 특히, 프로그램 활동 내역의 경우 그 기록이 매우 세세하고 알기 쉽게 되어 있기 때문에, 초보자도 쉽게 찾을 수 있습니다. 1-1. 프로그램 활동 내역 프로그램 활동 내역에서는 실제 프로그램(프로세스)의 활동 내역을 볼 수 있습니다. 실제 행위 목록에서 볼 수 있는 말은 굉장히 세세하며, '네트워크..
다음 세대 V3, AhnLab Next V3 – 행위 기반 탐지 글을 쓰기에 앞서, 샘플 URL 제공에 흔쾌히 도움 준 울지않는벌새 블로그의 벌새 형께 감사드립니다. ( __); 이전 글인 다음 세대 V3, AhnLab Next V3 – 파일 분석 보고서에서 이어지는 글입니다. 1. 개요 다양한 위협을 차단할 수 있는 네트워크 기반 탐지와, 평판 기반 탐지 외에 존재하는 행위 기반 탐지는 말 그대로 해당 프로그램의 행위에 기반하여 탐지하는 성격을 지닌 탐지 기법으로, 수상한 움직임에 의해 실시간으로 삭제한다는 점에서, 평판 기반 탐지와는 차이가 있다고 볼 수 있습니다. 평판 기반 탐지에서 보고서나 실행 할 때 물어보는 것은 말 그대로 사용자에게 선택의 기회를 주는 것과는 달리, 이러한 행위 기반 탐지에서는 V3가 자체적으로 판단하여 삭제한다는 것에 의의를 둡니다. 물..
다음 세대 V3, AhnLab Next V3 – 파일 분석 보고서 이전 글인 다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지 (2)에서 이어지는 글입니다. 1. 개요 Next V3의 새로운 기능인 파일 분석 보고서의 기능에 대하여 알아봅니다. V3의 보고서 기능은 두 가지 종류가 있는데, 네트워크 관련 보고서는 짧게나마 네트워크 기반 탐지에서 다루었습니다. 강화된 보고서 기능은 사용자 편의성을 더 높게 해주는 효과가 있었으며, 보다 더 정밀하게 검사할 수 있게 되었습니다. 2. 파일 분석 보고서의 접근 실제 프로그램 내 대부분의 프로그램 이름이나 경로, 호스트 주소는 더블클릭이나 클릭할 경우 파일 분석 보고서를 사용할 수 있습니다. 전부 다 설명할 수는 없겠지만, 크게 몇 가지만 나누자면, 2-1. 프로그램 내의 접근 네트워크 방역과 클라우드 평판 모두..
다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지 (2) 이전 글인 다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지에서 이어지는 글입니다. 4. 클라우드 평판 알림 단순히 사용자가 신뢰/차단한 것만 그치지 않고, 평판 필터링에 의하여 실시간으로 검사한 프로그램을 V3가 실행을 물어볼 때가 있습니다. 악성인지 확인되지는 않았지만, 안정성이 의심되는 파일을 다음과 같이 차단하게 됩니다. 이는 매우 중요한 기능입니다. '안정성이 확인되지 않은 파일 실행을 탐지하였습니다.'라는 문구와 함께 파일 경로, 평판 정보를 같이 보여줍니다. 해당 파일은 악성인지 확인은 되지 않았지만, 평판 필터링(후술)에 부합하지 못해 V3가 알림을 내놓는 것입니다. 주의 깊게 보아야 할 것은 신뢰 및 차단 정책에 추가 인데, 자동으로 체크 되어 있기 때문에 한번만 할 경우 ..
다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지 이전 글인 다음 세대 V3, AhnLab Next V3 – 네트워크 기반 탐지에서 이어지는 글입니다. 1. 평판 기반 탐지 각각의 회사에 등록된 독립적인 네트워크는, 여러 사용자가 모여 사용하는 만큼 기하급수적으로 많은 데이터가 오고 가게 되어 있습니다. 이는 안랩에서는 ASD(Ahnlab Smart Defense)라는 이름으로 부분적으로 시행되어 왔던 시스템이기도 합니다. 물론 깊게 파고 들면 엄연히 다른 시스템이지만, 평판 기반 탐지는 ASD를 기반으로 하고 있다고 해도 좋습니다. 1-1. 장점 세상에 만들어진 모든 프로그램의 모니터링을 보안 업체가 해줄 수 있다면 더할 나위 없이 좋겠지만, 그게 불가능함을 잘 알고 있을 겁니다. 그렇다면 독자적인 네트워크를 구축하여, 그 네트워크에 해당 파일에 정보..
다음 세대 V3, AhnLab Next V3 – 네트워크 기반 탐지 이전 글인 다음 세대 V3, AhnLab Next V3 – 개관에서 이어지는 글입니다. 1. 개요 개관에서 소개한 대로, 기존 V3와는 검열 체계가 몇 가지 더 추가된 점이 있습니다. 이러한 신기술은 제로데이 및 탐지 되지 않는 악성 위협에 효과적으로 대응할 수 있도록 도움을 준다는 점에서, 주목해서 지켜봐야 할 부분입니다. 네트워크 기반 탐지 편에서는 네트워크 기반 탐지에 대하여 살펴보도록 하겠습니다. 2. 사이트가드와의 차이와 장점 2-1. 사이트가드의 한계 기존의 V3에서는 네트워크 기반 탐지 기술이 적용되지 않았습니다. 비슷하게 나마 가능했던 기반 시스템은 사이트가드(SiteGuard) 프로그램이었는데, 이는 옛날 V3 시리즈의 스마트 업데이트(Smart Update)처럼 프로그램 내 탑재가 아닌..

티스토리툴바