반응형
이미 오래전부터 네이버나 다음 등의 웹메일은 첨부파일 등의 악성여부를 판단하는 웹메일관련 보안
제품을 서비스하고 있습니다. 물론 사용자들 PC에 설치되는 방식이 아니라 각 포털 사이트들이 운영하
는 메일 서버에서 바로 검사하는 방식을 갖고 있습니다. 제가 갖고 있는 샘플들이 거의 최근에 유포된
것이거나 비번을 건 압축 상태로 메일을 사용해서 한번도 메일 서버 제품에 진단된 적이 없었는데 오늘
실수로 비번을 걸지 않은 상태로 메일을 보냈다가 메일 서버 제품이 진단하는 것을 발견하였습니다.
위의 그림에서 보시다싶이 시만텍의 제품을 사용하고 있었습니다.
다운로드시에 진단된 첨부파일에 2 가지 처리 방식을 제공하는데 악성 유무와 상관없이 원본파일을
저장할 수 있는 '원본파일 저장'과 압축파일 내부의 악성코드를 제거하는 '바이러스 치료파일 저장'이
있습니다.
원본파일 저장은 파일 그대로 저장을 하는 것이고, 바이러스 치료파일 저장 기능은 일반적인 치료가
아닌 파일의 삭제를 의미하더군요.
실제 첨부된 압축 파일의 정보는 아래와 같습니다.
4개의 악성코드와 이 악성코드가 압축된 또하나의 압축파일(즉 2중 압축파일 형태)과 악성코드 리스트와 바토링크가 적힌 TXT파일입니다. 즉 정상 파일 하나와 압축파일 하나와 악성코드 4개가 담긴 압축파
일 입니다.
악성코드 4개는 비교적 오래된 샘플이라 바토에서는 모두 시만텍이 진단하고 있는데 그 중 하나의 진단명이 Trojan.zlob입니다.
이 압축파일은 바이러스 치료파일 저장 기능으로 저장을 시키니 아래와 같은 파일이 저장되더군요.
압축이 안된 일반 파일 형태는 크기가 0인 빈껍데기 파일이 되어 저장이 되는데, 압축파일은 약간이나마
데이타 크기가 남아있어, 악성코드만 제거되고 정상파일은 남아있지 않을까하는 희망도 있었지만, 파일
자체가 이미 오류가 난 상태였습니다.
내부의 모든 코드가 제거된 빈 껍데기 파일, 압축 오류가 난 상태
서버용 제품에서 압축 파일 내에 정상파일만을 남기고 나머지 위험요소만을 제거하는 기능을 바라는 건
무리가 아닐까 생각하면서도, 정상파일이 같이 첨부된 상태에서 압축 파일 자체가 변경되는 것은 아쉬
운 부분이었습니다.
개인적으로는 압축파일 내부의 정상파일 보존되거나, 처음부터 업로드시에 차단을 했어야하지 않나
생각합니다. 특히, 업로드시 검사는 메일을 보낼 때 보내는 사용자가 위험 요소에 대한 정보를 얻을 수
있고, 위험 요소가 있는 메일을 사전에 차단함으로써 전송되는 트래픽을 줄일 수 있는 방법이 아닌가
합니다.
물론, 메일 서버용 제품이 어떤 식으로 운용되는지도 모르고, 기술적으로 위와 같은 의견은 무리일 수도
있어 보입니다.
이곳을 방문하시는 분들이 사용하는 웹메일의 악성코드 검사는 어떤 업체의 제품을 사용하며, 어떤
처리 방법이 있는지 궁금하군요.
제품을 서비스하고 있습니다. 물론 사용자들 PC에 설치되는 방식이 아니라 각 포털 사이트들이 운영하
는 메일 서버에서 바로 검사하는 방식을 갖고 있습니다. 제가 갖고 있는 샘플들이 거의 최근에 유포된
것이거나 비번을 건 압축 상태로 메일을 사용해서 한번도 메일 서버 제품에 진단된 적이 없었는데 오늘
실수로 비번을 걸지 않은 상태로 메일을 보냈다가 메일 서버 제품이 진단하는 것을 발견하였습니다.
위의 그림에서 보시다싶이 시만텍의 제품을 사용하고 있었습니다.
다운로드시에 진단된 첨부파일에 2 가지 처리 방식을 제공하는데 악성 유무와 상관없이 원본파일을
저장할 수 있는 '원본파일 저장'과 압축파일 내부의 악성코드를 제거하는 '바이러스 치료파일 저장'이
있습니다.
원본파일 저장은 파일 그대로 저장을 하는 것이고, 바이러스 치료파일 저장 기능은 일반적인 치료가
아닌 파일의 삭제를 의미하더군요.
실제 첨부된 압축 파일의 정보는 아래와 같습니다.
4개의 악성코드와 이 악성코드가 압축된 또하나의 압축파일(즉 2중 압축파일 형태)과 악성코드 리스트와 바토링크가 적힌 TXT파일입니다. 즉 정상 파일 하나와 압축파일 하나와 악성코드 4개가 담긴 압축파
일 입니다.
악성코드 4개는 비교적 오래된 샘플이라 바토에서는 모두 시만텍이 진단하고 있는데 그 중 하나의 진단명이 Trojan.zlob입니다.
이 압축파일은 바이러스 치료파일 저장 기능으로 저장을 시키니 아래와 같은 파일이 저장되더군요.
압축이 안된 일반 파일 형태는 크기가 0인 빈껍데기 파일이 되어 저장이 되는데, 압축파일은 약간이나마
데이타 크기가 남아있어, 악성코드만 제거되고 정상파일은 남아있지 않을까하는 희망도 있었지만, 파일
자체가 이미 오류가 난 상태였습니다.
내부의 모든 코드가 제거된 빈 껍데기 파일, 압축 오류가 난 상태
서버용 제품에서 압축 파일 내에 정상파일만을 남기고 나머지 위험요소만을 제거하는 기능을 바라는 건
무리가 아닐까 생각하면서도, 정상파일이 같이 첨부된 상태에서 압축 파일 자체가 변경되는 것은 아쉬
운 부분이었습니다.
개인적으로는 압축파일 내부의 정상파일 보존되거나, 처음부터 업로드시에 차단을 했어야하지 않나
생각합니다. 특히, 업로드시 검사는 메일을 보낼 때 보내는 사용자가 위험 요소에 대한 정보를 얻을 수
있고, 위험 요소가 있는 메일을 사전에 차단함으로써 전송되는 트래픽을 줄일 수 있는 방법이 아닌가
합니다.
물론, 메일 서버용 제품이 어떤 식으로 운용되는지도 모르고, 기술적으로 위와 같은 의견은 무리일 수도
있어 보입니다.
이곳을 방문하시는 분들이 사용하는 웹메일의 악성코드 검사는 어떤 업체의 제품을 사용하며, 어떤
처리 방법이 있는지 궁금하군요.
반응형
'▶ 보안 관련 정보 및 팁' 카테고리의 다른 글
에프시큐어 온라인 스캐너 4.1 버전으로 업그레이드 (13) | 2009.07.17 |
---|---|
'Top of Page' 버튼 위젯을 다신 특정 분들은 잠시 위젯을 내리세요. <상황 종료> (8) | 2009.07.12 |
보안 업체에서 앨범도? 신나는 노드송~ (6) | 2009.06.21 |
보안 제품의 선택과 Matousec의 방화벽 테스트에 대한 개인적인 생각 (6) | 2009.01.28 |
카스퍼스키의 암호로 보호된 압축파일 내부 파일 진단하기 (2) | 2008.12.01 |