반응형
A-squared의 실시간 감시는 프로그램들의 행동을 감시하는 HIDS 기능인 Malware-IDS와 웹브라우저의 사이트 연결시 발생하는 위험을 차단하는 Surf-Protection 기능까지 포함하여 Background Guard라는 명칭을 사용하고 있습니다.
이중 Malware-IDS는 A-squared의 핵심 기능이며 다른 보안 제풉들의 실시간 감시 기능과는 구별되는 특징을 갖고 있습니다. 일반적으로 현재의 보안 제품들의 실시간 감시 기능은 시그니처를 이용한 비교 방식이(Black List) 주로 사용되고 있고, 행동 기반 탐지 방식의 감시 기능은 보조적으로 사용되는 것이 일반적입니다. 그러나 A-squared의 M-IDS는 기본적으로 행동 기반 감시 기능으로 이루어져 있으며, 타사의 HIPS 기능과 거의 유사한 기능을 갖고 있습니다.
지금까지 리뷰한 제품이나 국내외에서 유명한 제품들에도 기능과 설정의 세세함을 갖춘 HIPS/HIDS 기능이 포함되어 있지만 노턴같은 제품의 예에서 볼 수 있듯이(1) 개인용 제품의 대다수는 HIPS 같은 기능은 기본 설정에서 비활성화 되어있거나 감시 강도가(컨트롤 감시 제한) 낮게 설정된 경우가 많습니다. 이는 아직까지 일반 사용자 입장에서 현재의 행동 기반 감시 기능을 사용하는 것은 비교적 어렵기 때문입니다. 따라서 이전에 리뷰한 DriveSentry 같은 일부의 제품을 제외하고 A-squared처럼 실시간감시의 중점적인 역활을 HIDS가 담당하는 제품은 찾아보기가 어렵습니다.
Security Stauts의 A-squared 상태 정보 부분에서도 상위 3개가 실시간 감시 항목과 연관되어 있을만큼 실시간 감시와 관련된 기능들을 매우 중요하게 여기고 있습니다.
A-squared와 유사한 실시간 감시 기능을 갖춘 제품은 최근에 리뷰한 DriveSentry 제품이 있습니다. 그러나 DriveSentry의 HIPS는 타사의 제품과 비교하여 감시하는 항목의 차이가 상당히 컸기 때문에, 실제 성능(악성코드의 실행의 차단)에 의구심이 가는 것이 사실이었으나 A-squared의 HIDS의 감시용 일반 규칙과 실제 악성코드의 실행 및 행동을 차단하는 방식등을 미루어 볼 때 타사의 HIPS 기능과 큰 차이가 없습니다.
HIPS 기능의 성능을 전문적으로 판단하는 테스트과 AV-coparatives의 일부 테스트와 Matousec같은 민간 단체의 테스트외에는 아직 활성화되어 있지 않을 뿐더러 A-squared에서 이러한 테스트에도 참가하지 않았기 때문에 타사의 제품들과 비교할 수 없어 상대적인 성능값을 볼 수는 없지만, 타사의 기능과 마찬가지로 M-IDS도 상당수 악성코드들의 실행과 행동을 차단할수 있습니다.
M-IDS는 실시간 감시(Background Guard)의 가장 중요한 기능입니다. 각각의 탭을 설명하면서 M-IDS 기능을 설명하고 사용법 등을 살펴보겠습니다.
(1) Malware-IDS : 감시할 프로세스의 행동을 감시/관리하기 위한 규칙을 설정합니다.
A-squared에서 제공하는 HIDS의 감시 항목은 총 17개입니다. 감시 항목을 살펴보면 카스퍼스키의 Proactive Defense의 기능에서 Application Filtering의 관리 규칙이 일부 추가된 형태입니다. 악성코드 (Trojan, Backdoor)의 행동을 레지스트리 수정, 프로세스 로딩, 코드삽입, 네트워크 연결 등에 따라 구분지어 관리하는 것이 M-IDS의 특징입니다. 기본적으로 모든 프로세스의 실행 자체를 제어하지는 않으며,실행되어 이루어지는 행동을 분석하여 관리하고자 하는 것 같습니다. 규칙만을 놓고 보면 Proactive Defense 기능의 확장판이라고 볼 수 있습니다. 그러나 실제 사용시에는 사용자 처리와 관계되어 상당한차이를 보이고 있습니다.
정확한 정보를 구할 수는 없지만 개인적인 테스트에서는 카스퍼스키의 Proactive Defense의 위험성을 판단하는 탐지 기준치는 상당히 높게 형성되어 있는 듯 합니다. 카스퍼스키의 탐지 시스템이 Application Filtering이라는 종합적인 프로세스 관리 시스템과, 시그니처 대조를 이용한 실시간 감시 등 다중적인 보호 체계를 통해 프로세스가 '행동'하기 전에 탐지를 할 수 있는 상황에서 굳이 Proactive Defense의 민감도를 높여 사용자처리창이 자주 활성화될 필요가 없기 때문이 아닌가 예상하고 있습니다. 실제 Proactive Defense 를 통해 진단되는 항목은 상당히 제한적입니다.
(카스퍼스키의 진단 도구 중에서 가장 오진이 많기는 합니다만 이와는 별도로 진단하는 객체의 절대수는 상당히 적습니다.)
이와 달리 A-squared는 실시간 감시를 M-IDS에서 전적으로 책임지고 있기 때문인지 위험성 기준치가 상당히 낮은 걸로 보입니다. 즉, 프로세스 행동을 상당히 민감하게 탐지하고 있으며, 특히 Paranoid mode를 설정하면 Application Filtering과 같은 종합적인 관리 시스템이 없어도 상당히 많은 프로세스들을 '관리' 할 수 있을 정도입니다.
DirveSentry같은 제품도 마찬가지지만 현재까지 M-IDS와 같은 기능은 분명히 대중적으로 사용될 만한 방식은 아니나, 어떤 새로운 흐름을 만들어 내려고 하는 노력이 보이는 것 같습니다.
M-IDS의 17가지 규칙은 아래와 같습니다. (각 규칙의 세부적인 정보는 찾지 못하였습니다.)
(2) Application rules : M-IDS에서 탐지된 어플리케이션들에 대한 규칙을 관리/생성합니다.
실시간 감시 항목의 첫번째 탭인 Application Rules은 실시간 감시로 탐지된 프로세스들의 행동에 관한 규칙을 관리하고, 아직 탐지되지 않은 프로세스의 행동 규칙을 생성하는 규칙 관리 항목입니다.
M-IDS의 어플리케이션 규칙은 실시간 감시 항목에서 진단할 때와 사용자가 탐지 전에 사용자가 직접 생성하는 법 등 두 가지 생성방법이 있는데 실시간 감시 항목을 설명하면서 설명을 하도록 하겠습니다. 사용자가 직접 프로세스의 규칙을 생성하거나 수정하려면 'Add new rule'을 클릭하거나 'Edit rule'을 클릭하면 됩니다.
▶ 실시간 감시 시 탐지
실시간 감시 탐지 사용자 처리창
실시간 감시가 가동 중에 프로세스가 실행되면 M-IDS에서 프로세스의 행동을 관찰하다가 설정된 일반 규칙에 적용되는 악성의심 행동을 취했을 경우 위와 같은 사용자 처리창이 활성화 됩니다.
① 진단된 프로세스의 행동게 관한 A-squared의 권장 사항 - 권장 처리 방법이 없는 경우입니다.
② 프로세스의 실행 자체를 차단할 경우에 해당 체크 박스를 체크하면 프로세스를 검역소로 강제로
이동시킵니다.
④ 지금 지정된 처리 사항을 규칙으로 생성합니다. 이 기능으로 Application Rules에 규칙이 생성됩니다.
③ 프로세스의 행동에 관하여 세부적인 설정을 합니다.
실시간 감시 세부 설정창
위의 설정창은 Application Rule의 규칙 생성 및 수정창과 동일합니다.
해당 항목에 관하여는 위의 그림을 참고하시기 바랍니다.
(3) Alert : 실시간 감시의 일반 설정과 알람창 설정을 조정
① 체크하면 실시간 감시 사용자 처리 창의 4번 항목에 미리 체크를 자동으로 채워줍니다.
② DriveScan이 행동기반방식의 실시간 감시 기능의 약점을 보완하기 위하여 프로세스 실행시 시그니처
대조 기능을 이용한 악성코드 차단 기능을 사용했던 것처럼 A-squared도 동일한 기능을 갖고 있습니
다. 리스크웨어 DB나 휴리스틱 기능도 포함하고 있는데 개인적인 테스트 결과에서는 Ikarus 엔진에서
진단하는 악성코드는 이 기능으로 진단이 안됩니다. 현재 !AK 진단명이 나오는 샘플을 구하지 못해
실험을 못하였으나 해당 기능은 이카루스 엔진이 아닌 A-squared의 자체 엔진만을 이용하여 구동하
는 것으로 보입니다. 가급적 이 기능은 체크하여 활성화하기를 권장합니다.
③ A-squared의 인공지능을 이용하여 악성 여부를 스스로 판단/처리하여 사용자 처리 알람창을 줄이는
역활을 합니다. 그러나 사용자 처리에 비하여 오류 발생 위험이 높아서 이 기능의 사용이 권장사항은
아닙니다.
④ A-squared를 사용하는 사용자들의 진단된 프로세스에 대한 허용/차단 정보를 바탕으로 자동처리를
실시합니다. DriveSentry와 유사하게 M-IDS에서도 사용자들의 프로세스 허용/차단 정보를 갖추고
있습니다. 그러나 DirveSenty는 사용자에게 해당 통계치를 그대로 보여주어 사용자가 처리하는데
도움을 주는 역활을 하였으나 A-squared에서는 사용자가 설정한 기준치에 따라 자동적으로 허용/
차단 처리가 이루어집니다. 큰 위험성없이 사용자 처리 창을 줄일 수 있기에 활성화하기를 권장하며
90% 이하로 처리 기준을 낮추는 것은 위험할 수 있습니다.
⑤ Paranoid mode는 M-IDS 탭의 17가지 규칙을 더욱 엄격하게 적용하여 좀 더 세밀하게 프로세스 행동
을 감시하는 것입니다. 정상 프로세스를 진단하는 비율이 급격하게 증가하기 때문에사용자 처리창이
상당히 많이 활성화 됩니다. 개인적으로는 행동기반탐지방식이 주된 실시간 감시로 사용되는 제품인
만큼 해당 기능을 활성화시켜야 한다고 생각합니다. 이 기능을 비활성화해도 다소 민감한 탐지가
이루어지기 때문에, 사용하는 제품들의 상당수는 최초 구동시 규칙을 반드시 설정해야 합니다.
이 기능을 사용하던 안하던 사용자 처리로 규칙을 생성하는 절차를 진행해야 한다면 다소 처리할
분량이 많아지더라도 이 기능을 활성화하여 좀더 보안 수준을 높이는 것이 좋아보입니다.
(4) M-IDS의 한계
A-squared 사용시 주의할 점은 SandBoxIE 같은 가상화 프로그램에서 구동되는 프로세스는 M-IDS에서진단이 안된다는 것입니다. 그래서 몇 가지 테스트를 진행할 때 VirtualPC 같은 가상OS 프로그램을 이용하였습니다. 현재 행동기반탐지 방식의 구조적인 문제인 사용자 처리가 반드시 필요한 점은 모든 HIPS에서 나타나는 단점이기에 따로 설명하지는 않겠습니다.
개인적인 테스트 결과에서는 A-squared는 아래의 그림과 같이 상당수의 Trojan, Worm 등의 악성코드를
실행시에 차단 할 수 있었습니다.
이 경우 Block behavior(이 항목을 설정하면 몇 번 더 알람창이 활성화 될 때도 있습니다.)나 Block을 지정하면
대다수의 악성코드는 정상적인 실행이 차단되었습니다.
그러나 아래와 같은 경우도 분명히 존재하였습니다. 위의 H.exe라는 악성코드가 정상적으로 실행시
생성되는 파일들은 아래와 같습니다.
dll 파일등은 explorer에 삽입하여 사용자 정보를 빼가며, zhido.exe 파일을 숨김/시스템 속성으로 생성
하는 악성코드입니다.
숨김/시스템 속성
이 악성코드의 경우 Block 명령으로 실행자체를 차단하고, 추가적으로 검역소 이동을 명령했습니다.
이경우 dll 파일들은 생성되지 못하였습니다만 아래의 그림처럼 Zhido.exe 파일은 생성이 되었습니다.
숨김/시스템 속성도 부여가 되지 않은 것으로 미루어봐서 생성만 되었을 뿐 실제로 실행이 된 것으로보이지는 않습니다. 이 경우도 어찌보면 M-IDS 기능이 정상적으로 잘 악성코드를 차단했다 생각할 수 있겠으나, Block 명령으로 프로세스의 실행 자체를 차단한 것이 결과적으로는 실패한 것이 아닌가 생각합니다.
행동기반탐지 기능은 아무래도 시그니처 방식의 실시간 감시 방식과 달리 악성코드가 자신의 시스템에 들어오는 것을 막을 수는 없습니다. 오직 그 프로세스가 실행되는 순간에 차단하는냐 뚫리느냐가 결정되는데 위의 경우에서처럼 일부에서 허점이 보인다는 것은 상당히 중대한 문제라고 생각합니다.
물론, A-squared 제품도 실행시 시그니처 기법을 이용한 검사를 진행합니다만, 이카루스 엔진은 사용되지 않는 것으로 보이고 오직 '실행시'에만 진단이 가능하기 때문에 M-IDS의 행동기반탐지 방식만 존재할 때와 아주 큰 차이를 갖고 있다고는 볼 수 없습니다.
이러한 이유로 개인적으로는 다른 보안 제품들의 시그니처를 이용한 실시간 감시 기능이 커널 모드에서 단순 접근시에도 차단이 가능한 수준이 되었어야 한다고 생각하고 있습니다. 물론 기본 주요 프로세스인 a2service.exe 가 기본 메모리 사용율이 100MB가 넘어가는 상황에서 커널모드로 동작하는 실시간 감시 기능이 추가되면 시스템 퍼포먼스가 상당히 떨어질 가능성도 있습니다.
(알약의 실시간 감시 설정이 '보통'에서 '높음'으로 바뀔 때 일어나는 시스템 퍼포먼스 하락을 생각하면 이해하기 쉽습니다.)
어떤 기능이든지 한계가 존재하겠습니다만, 행동기반탐지방식과 시그니처 방식의 실시간 감시 중 하나 를 선택하라면, 아직까지는 시스템 내부로 유입되기 전에 사전차단이 가능한 시스니처 방식의 실시간 감시 기능의 손을 들어주어야한다고 생각합니다. 따라서 시그니처 방식이 주된 실시간 감시 기능으로 사용되고 HIPS등의 기능은 보조적으로 사용되는 것이 가장 효율적이며 이상적일 것으로 보입니다.
다만, 일반 보안 제품의 실시간 감시 방식인 커널모드에서 파일을 일일이 후킹하여 진단하는 방식에 비하여 시스템 딜레이가 적다는 것은 상당히 매력적입니다. 퍼포먼스와 관련하여 실시간 감시로 인한 리소스 사용율 증가가 주된 이슈인데 A-squared와같은 실시간 감시 방식은 이러한 딜레이가 없으므로 가벼운 제품을 선호하는 분들에게는 매력적인 제품이 될 수도 있을 것 같습니다. 특히 기본적으로 로딩되는 프로세스의 메모리 점유율이 100MB가 넘는 상황에서도 프로그램 로딩시나 실행 중에 시스템 부하가 적습니다. 초기 로딩시 행동기반탐지 기능의 특유의 딜레이를 제외하면 보안 제품 특유의 딜레이가 없다고 보시면 됩니다.
이번 A-squared 리뷰의 핵심인 실시간 감시 항목에 대한 포스팅입니다.
저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.
저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.
▶ A-squared Anti-Malware 리뷰 모음
- 개요 및 설치 과정 , 메인 UI/수동 검사
▶ 관련 게시글
- Kaspersky, ThreatFire, DriveSentry
- 개요 및 설치 과정 , 메인 UI/수동 검사
▶ 관련 게시글
- Kaspersky, ThreatFire, DriveSentry
5. 실시간 감시 - Background Guard
A-squared의 실시간 감시는 프로그램들의 행동을 감시하는 HIDS 기능인 Malware-IDS와 웹브라우저의 사이트 연결시 발생하는 위험을 차단하는 Surf-Protection 기능까지 포함하여 Background Guard라는 명칭을 사용하고 있습니다.
이중 Malware-IDS는 A-squared의 핵심 기능이며 다른 보안 제풉들의 실시간 감시 기능과는 구별되는 특징을 갖고 있습니다. 일반적으로 현재의 보안 제품들의 실시간 감시 기능은 시그니처를 이용한 비교 방식이(Black List) 주로 사용되고 있고, 행동 기반 탐지 방식의 감시 기능은 보조적으로 사용되는 것이 일반적입니다. 그러나 A-squared의 M-IDS는 기본적으로 행동 기반 감시 기능으로 이루어져 있으며, 타사의 HIPS 기능과 거의 유사한 기능을 갖고 있습니다.
지금까지 리뷰한 제품이나 국내외에서 유명한 제품들에도 기능과 설정의 세세함을 갖춘 HIPS/HIDS 기능이 포함되어 있지만 노턴같은 제품의 예에서 볼 수 있듯이(1) 개인용 제품의 대다수는 HIPS 같은 기능은 기본 설정에서 비활성화 되어있거나 감시 강도가(컨트롤 감시 제한) 낮게 설정된 경우가 많습니다. 이는 아직까지 일반 사용자 입장에서 현재의 행동 기반 감시 기능을 사용하는 것은 비교적 어렵기 때문입니다. 따라서 이전에 리뷰한 DriveSentry 같은 일부의 제품을 제외하고 A-squared처럼 실시간감시의 중점적인 역활을 HIDS가 담당하는 제품은 찾아보기가 어렵습니다.
A-squared와 유사한 실시간 감시 기능을 갖춘 제품은 최근에 리뷰한 DriveSentry 제품이 있습니다. 그러나 DriveSentry의 HIPS는 타사의 제품과 비교하여 감시하는 항목의 차이가 상당히 컸기 때문에, 실제 성능(악성코드의 실행의 차단)에 의구심이 가는 것이 사실이었으나 A-squared의 HIDS의 감시용 일반 규칙과 실제 악성코드의 실행 및 행동을 차단하는 방식등을 미루어 볼 때 타사의 HIPS 기능과 큰 차이가 없습니다.
HIPS 기능의 성능을 전문적으로 판단하는 테스트과 AV-coparatives의 일부 테스트와 Matousec같은 민간 단체의 테스트외에는 아직 활성화되어 있지 않을 뿐더러 A-squared에서 이러한 테스트에도 참가하지 않았기 때문에 타사의 제품들과 비교할 수 없어 상대적인 성능값을 볼 수는 없지만, 타사의 기능과 마찬가지로 M-IDS도 상당수 악성코드들의 실행과 행동을 차단할수 있습니다.
5-1. Malware-IDS : Process Control
M-IDS는 실시간 감시(Background Guard)의 가장 중요한 기능입니다. 각각의 탭을 설명하면서 M-IDS 기능을 설명하고 사용법 등을 살펴보겠습니다.
(1) Malware-IDS : 감시할 프로세스의 행동을 감시/관리하기 위한 규칙을 설정합니다.
A-squared에서 제공하는 HIDS의 감시 항목은 총 17개입니다. 감시 항목을 살펴보면 카스퍼스키의 Proactive Defense의 기능에서 Application Filtering의 관리 규칙이 일부 추가된 형태입니다. 악성코드 (Trojan, Backdoor)의 행동을 레지스트리 수정, 프로세스 로딩, 코드삽입, 네트워크 연결 등에 따라 구분지어 관리하는 것이 M-IDS의 특징입니다. 기본적으로 모든 프로세스의 실행 자체를 제어하지는 않으며,실행되어 이루어지는 행동을 분석하여 관리하고자 하는 것 같습니다. 규칙만을 놓고 보면 Proactive Defense 기능의 확장판이라고 볼 수 있습니다. 그러나 실제 사용시에는 사용자 처리와 관계되어 상당한차이를 보이고 있습니다.
정확한 정보를 구할 수는 없지만 개인적인 테스트에서는 카스퍼스키의 Proactive Defense의 위험성을 판단하는 탐지 기준치는 상당히 높게 형성되어 있는 듯 합니다. 카스퍼스키의 탐지 시스템이 Application Filtering이라는 종합적인 프로세스 관리 시스템과, 시그니처 대조를 이용한 실시간 감시 등 다중적인 보호 체계를 통해 프로세스가 '행동'하기 전에 탐지를 할 수 있는 상황에서 굳이 Proactive Defense의 민감도를 높여 사용자처리창이 자주 활성화될 필요가 없기 때문이 아닌가 예상하고 있습니다. 실제 Proactive Defense 를 통해 진단되는 항목은 상당히 제한적입니다.
(카스퍼스키의 진단 도구 중에서 가장 오진이 많기는 합니다만 이와는 별도로 진단하는 객체의 절대수는 상당히 적습니다.)
이와 달리 A-squared는 실시간 감시를 M-IDS에서 전적으로 책임지고 있기 때문인지 위험성 기준치가 상당히 낮은 걸로 보입니다. 즉, 프로세스 행동을 상당히 민감하게 탐지하고 있으며, 특히 Paranoid mode를 설정하면 Application Filtering과 같은 종합적인 관리 시스템이 없어도 상당히 많은 프로세스들을 '관리' 할 수 있을 정도입니다.
DirveSentry같은 제품도 마찬가지지만 현재까지 M-IDS와 같은 기능은 분명히 대중적으로 사용될 만한 방식은 아니나, 어떤 새로운 흐름을 만들어 내려고 하는 노력이 보이는 것 같습니다.
M-IDS의 17가지 규칙은 아래와 같습니다. (각 규칙의 세부적인 정보는 찾지 못하였습니다.)
ⓐ Watch for pissible backdoor like activity
- 백도어 류의 악성코드 행동 탐지
ⓑ Watch for pissible spyware like activity
- 스파이웨어 류의 악성코드 행동 탐지
ⓒ Watch for pissible hijacker like activity
- 하이재커 류의 악성코드 행동 탐지(2)
ⓓ Watch for pissible worm like activity
- 웜 류의 악성코드 행동 탐지
ⓔ Watch for pissible dialer like activity
- 다이얼러 류의 악성코드 행동 탐지
ⓕ Watch for pissible keylogger like activity
- 키로거 류의 악성코드 행동 탐지
ⓖ Watch for pissible trojan downloader like activity
- 트로이 목마 류의 악성코드 행동 탐지
ⓗ Watch for application trying to inject code to other applications
- 다른 어플리케이션이 특정 코드 삽입을 탐지 : 시스템 파일 등에 DLL파일을 인젝션 시키는 것
ⓘ Watch for programs editing(patching) ohter executable files
- 다른 실행파일의 특정 코드 삽입을 탐지 : 바이럿 등의 감염형 악성코드의 코드 추가를 탐지
ⓙ Watch for programs installing somethings invisibly
- 시스템에 숨김 속성의 파일들을 설치하는 것을 탐지
ⓚ Watch for rootkit programs using a hidden process
- 루트킷 기법을 이용하여 특정 항목을 시스템에 설치하려는 행동을 탐지
ⓛ Watch for installation of services and drivers
- 윈도우의 서비스와 드라이버 항목에 추가되는 것을 탐지
ⓜ Watch for programs modifying startup areas
- 시작 프로그램과 관련된 항목에 추가되는 것 탐지
ⓝ Watch for programs changing the hosts file
- 호스트 파일 변경 탐지
ⓞ Watch for browser settings changes
- 웹브라우저(IE) 설정을 변경시키려는 행동 탐지
ⓟ Watch for debugger installations on the system
- 디버거를 설치하는 것을 탐지(3)
ⓠ Watch for programs simulating mouse or keyboard activities
- 프로그램에서 마우스와 키보드를 가상으로 구동시키는 것을 탐지
- 백도어 류의 악성코드 행동 탐지
ⓑ Watch for pissible spyware like activity
- 스파이웨어 류의 악성코드 행동 탐지
ⓒ Watch for pissible hijacker like activity
- 하이재커 류의 악성코드 행동 탐지(2)
ⓓ Watch for pissible worm like activity
- 웜 류의 악성코드 행동 탐지
ⓔ Watch for pissible dialer like activity
- 다이얼러 류의 악성코드 행동 탐지
ⓕ Watch for pissible keylogger like activity
- 키로거 류의 악성코드 행동 탐지
ⓖ Watch for pissible trojan downloader like activity
- 트로이 목마 류의 악성코드 행동 탐지
ⓗ Watch for application trying to inject code to other applications
- 다른 어플리케이션이 특정 코드 삽입을 탐지 : 시스템 파일 등에 DLL파일을 인젝션 시키는 것
ⓘ Watch for programs editing(patching) ohter executable files
- 다른 실행파일의 특정 코드 삽입을 탐지 : 바이럿 등의 감염형 악성코드의 코드 추가를 탐지
ⓙ Watch for programs installing somethings invisibly
- 시스템에 숨김 속성의 파일들을 설치하는 것을 탐지
ⓚ Watch for rootkit programs using a hidden process
- 루트킷 기법을 이용하여 특정 항목을 시스템에 설치하려는 행동을 탐지
ⓛ Watch for installation of services and drivers
- 윈도우의 서비스와 드라이버 항목에 추가되는 것을 탐지
ⓜ Watch for programs modifying startup areas
- 시작 프로그램과 관련된 항목에 추가되는 것 탐지
ⓝ Watch for programs changing the hosts file
- 호스트 파일 변경 탐지
ⓞ Watch for browser settings changes
- 웹브라우저(IE) 설정을 변경시키려는 행동 탐지
ⓟ Watch for debugger installations on the system
- 디버거를 설치하는 것을 탐지(3)
ⓠ Watch for programs simulating mouse or keyboard activities
- 프로그램에서 마우스와 키보드를 가상으로 구동시키는 것을 탐지
(2) Application rules : M-IDS에서 탐지된 어플리케이션들에 대한 규칙을 관리/생성합니다.
실시간 감시 항목의 첫번째 탭인 Application Rules은 실시간 감시로 탐지된 프로세스들의 행동에 관한 규칙을 관리하고, 아직 탐지되지 않은 프로세스의 행동 규칙을 생성하는 규칙 관리 항목입니다.
M-IDS의 어플리케이션 규칙은 실시간 감시 항목에서 진단할 때와 사용자가 탐지 전에 사용자가 직접 생성하는 법 등 두 가지 생성방법이 있는데 실시간 감시 항목을 설명하면서 설명을 하도록 하겠습니다. 사용자가 직접 프로세스의 규칙을 생성하거나 수정하려면 'Add new rule'을 클릭하거나 'Edit rule'을 클릭하면 됩니다.
▶ 실시간 감시 시 탐지
실시간 감시가 가동 중에 프로세스가 실행되면 M-IDS에서 프로세스의 행동을 관찰하다가 설정된 일반 규칙에 적용되는 악성의심 행동을 취했을 경우 위와 같은 사용자 처리창이 활성화 됩니다.
① 진단된 프로세스의 행동게 관한 A-squared의 권장 사항 - 권장 처리 방법이 없는 경우입니다.
② 프로세스의 실행 자체를 차단할 경우에 해당 체크 박스를 체크하면 프로세스를 검역소로 강제로
이동시킵니다.
④ 지금 지정된 처리 사항을 규칙으로 생성합니다. 이 기능으로 Application Rules에 규칙이 생성됩니다.
③ 프로세스의 행동에 관하여 세부적인 설정을 합니다.
위의 설정창은 Application Rule의 규칙 생성 및 수정창과 동일합니다.
해당 항목에 관하여는 위의 그림을 참고하시기 바랍니다.
(3) Alert : 실시간 감시의 일반 설정과 알람창 설정을 조정
① 체크하면 실시간 감시 사용자 처리 창의 4번 항목에 미리 체크를 자동으로 채워줍니다.
② DriveScan이 행동기반방식의 실시간 감시 기능의 약점을 보완하기 위하여 프로세스 실행시 시그니처
대조 기능을 이용한 악성코드 차단 기능을 사용했던 것처럼 A-squared도 동일한 기능을 갖고 있습니
다. 리스크웨어 DB나 휴리스틱 기능도 포함하고 있는데 개인적인 테스트 결과에서는 Ikarus 엔진에서
진단하는 악성코드는 이 기능으로 진단이 안됩니다. 현재 !AK 진단명이 나오는 샘플을 구하지 못해
실험을 못하였으나 해당 기능은 이카루스 엔진이 아닌 A-squared의 자체 엔진만을 이용하여 구동하
는 것으로 보입니다. 가급적 이 기능은 체크하여 활성화하기를 권장합니다.
③ A-squared의 인공지능을 이용하여 악성 여부를 스스로 판단/처리하여 사용자 처리 알람창을 줄이는
역활을 합니다. 그러나 사용자 처리에 비하여 오류 발생 위험이 높아서 이 기능의 사용이 권장사항은
아닙니다.
④ A-squared를 사용하는 사용자들의 진단된 프로세스에 대한 허용/차단 정보를 바탕으로 자동처리를
실시합니다. DriveSentry와 유사하게 M-IDS에서도 사용자들의 프로세스 허용/차단 정보를 갖추고
있습니다. 그러나 DirveSenty는 사용자에게 해당 통계치를 그대로 보여주어 사용자가 처리하는데
도움을 주는 역활을 하였으나 A-squared에서는 사용자가 설정한 기준치에 따라 자동적으로 허용/
차단 처리가 이루어집니다. 큰 위험성없이 사용자 처리 창을 줄일 수 있기에 활성화하기를 권장하며
90% 이하로 처리 기준을 낮추는 것은 위험할 수 있습니다.
⑤ Paranoid mode는 M-IDS 탭의 17가지 규칙을 더욱 엄격하게 적용하여 좀 더 세밀하게 프로세스 행동
을 감시하는 것입니다. 정상 프로세스를 진단하는 비율이 급격하게 증가하기 때문에사용자 처리창이
상당히 많이 활성화 됩니다. 개인적으로는 행동기반탐지방식이 주된 실시간 감시로 사용되는 제품인
만큼 해당 기능을 활성화시켜야 한다고 생각합니다. 이 기능을 비활성화해도 다소 민감한 탐지가
이루어지기 때문에, 사용하는 제품들의 상당수는 최초 구동시 규칙을 반드시 설정해야 합니다.
이 기능을 사용하던 안하던 사용자 처리로 규칙을 생성하는 절차를 진행해야 한다면 다소 처리할
분량이 많아지더라도 이 기능을 활성화하여 좀더 보안 수준을 높이는 것이 좋아보입니다.
(4) M-IDS의 한계
A-squared 사용시 주의할 점은 SandBoxIE 같은 가상화 프로그램에서 구동되는 프로세스는 M-IDS에서진단이 안된다는 것입니다. 그래서 몇 가지 테스트를 진행할 때 VirtualPC 같은 가상OS 프로그램을 이용하였습니다. 현재 행동기반탐지 방식의 구조적인 문제인 사용자 처리가 반드시 필요한 점은 모든 HIPS에서 나타나는 단점이기에 따로 설명하지는 않겠습니다.
개인적인 테스트 결과에서는 A-squared는 아래의 그림과 같이 상당수의 Trojan, Worm 등의 악성코드를
실행시에 차단 할 수 있었습니다.
이 경우 Block behavior(이 항목을 설정하면 몇 번 더 알람창이 활성화 될 때도 있습니다.)나 Block을 지정하면
대다수의 악성코드는 정상적인 실행이 차단되었습니다.
그러나 아래와 같은 경우도 분명히 존재하였습니다. 위의 H.exe라는 악성코드가 정상적으로 실행시
생성되는 파일들은 아래와 같습니다.
하는 악성코드입니다.
이 악성코드의 경우 Block 명령으로 실행자체를 차단하고, 추가적으로 검역소 이동을 명령했습니다.
이경우 dll 파일들은 생성되지 못하였습니다만 아래의 그림처럼 Zhido.exe 파일은 생성이 되었습니다.
행동기반탐지 기능은 아무래도 시그니처 방식의 실시간 감시 방식과 달리 악성코드가 자신의 시스템에 들어오는 것을 막을 수는 없습니다. 오직 그 프로세스가 실행되는 순간에 차단하는냐 뚫리느냐가 결정되는데 위의 경우에서처럼 일부에서 허점이 보인다는 것은 상당히 중대한 문제라고 생각합니다.
물론, A-squared 제품도 실행시 시그니처 기법을 이용한 검사를 진행합니다만, 이카루스 엔진은 사용되지 않는 것으로 보이고 오직 '실행시'에만 진단이 가능하기 때문에 M-IDS의 행동기반탐지 방식만 존재할 때와 아주 큰 차이를 갖고 있다고는 볼 수 없습니다.
이러한 이유로 개인적으로는 다른 보안 제품들의 시그니처를 이용한 실시간 감시 기능이 커널 모드에서 단순 접근시에도 차단이 가능한 수준이 되었어야 한다고 생각하고 있습니다. 물론 기본 주요 프로세스인 a2service.exe 가 기본 메모리 사용율이 100MB가 넘어가는 상황에서 커널모드로 동작하는 실시간 감시 기능이 추가되면 시스템 퍼포먼스가 상당히 떨어질 가능성도 있습니다.
(알약의 실시간 감시 설정이 '보통'에서 '높음'으로 바뀔 때 일어나는 시스템 퍼포먼스 하락을 생각하면 이해하기 쉽습니다.)
어떤 기능이든지 한계가 존재하겠습니다만, 행동기반탐지방식과 시그니처 방식의 실시간 감시 중 하나 를 선택하라면, 아직까지는 시스템 내부로 유입되기 전에 사전차단이 가능한 시스니처 방식의 실시간 감시 기능의 손을 들어주어야한다고 생각합니다. 따라서 시그니처 방식이 주된 실시간 감시 기능으로 사용되고 HIPS등의 기능은 보조적으로 사용되는 것이 가장 효율적이며 이상적일 것으로 보입니다.
다만, 일반 보안 제품의 실시간 감시 방식인 커널모드에서 파일을 일일이 후킹하여 진단하는 방식에 비하여 시스템 딜레이가 적다는 것은 상당히 매력적입니다. 퍼포먼스와 관련하여 실시간 감시로 인한 리소스 사용율 증가가 주된 이슈인데 A-squared와같은 실시간 감시 방식은 이러한 딜레이가 없으므로 가벼운 제품을 선호하는 분들에게는 매력적인 제품이 될 수도 있을 것 같습니다. 특히 기본적으로 로딩되는 프로세스의 메모리 점유율이 100MB가 넘는 상황에서도 프로그램 로딩시나 실행 중에 시스템 부하가 적습니다. 초기 로딩시 행동기반탐지 기능의 특유의 딜레이를 제외하면 보안 제품 특유의 딜레이가 없다고 보시면 됩니다.
5-2. Surf Protection
악성코드/피싱 유도 등 사용자에게 피해를 줄 수 있는 위험한 웹사이트의 차단과 쿠키 차단/관리를 통해웹브라우저로 인터넷을 이용하는 동안 생길 수 있는 위험을 사전에 차단하는 기능입니다. M-IDS를 보조하며, 최근의 악성코드 유포에 가장 광범위하게 사용되는 방법인 웹사이트를 통한 유포 등을 차단하기 위한 기능입니다.
(1) Surf Protection - 환경 설정 조정
Surf Protection은 총 9개의 설정으로 사용자 PC를 보호합니다.
9개의 설정은 각각 Block Silently(알림창 없이 자동 차단)/Block and Notify(차단 후 차단 정보 알림)/
Alert(사용자 처리)/ Don't Block(무조건 허용) 등 4가지 행동 처리를 설정할 수 있습니다.
① 쿠키(Cookie) 생성 및 사용 차단 : 설명으로는 분명히 쿠키 생성시 차단하는 기능인데 제 시스템에서
간혹 쿠키가 그대로 생성될 때가 있었습니다. 기본 설정이 Block and Notify이지만 쿠키를 반드시
사용하는 로그인 등의 행동이 잘되어 이상하다 싶었는데 아래와 같이 쿠키가 생성되고 있었습니다.
이 부분은 특정 시스템에서 발생하는 일종의 버그라 예상됩니다.
차단 설정에도 생성된 쿠키들
② 광고 등을 목적으로 하는 웹사이트를 관리합니다. 2번부터 9번 항목까지 나오는 host는 웹사이트를
의미한다고 보시면 됩니다. 1번 항목과 2번 항목 때문인지 구글 애드센스의 특정 광고는 해당 광고
웹사이트 로의 연결이 안될 때가 있습니다.
③ 악성코드가 유포되는 웹사이트를 관리합니다.
④ 취약점 공격이 발견된 웹사이트를 관리합니다.
⑤ 허위 보안 제품(Fake AV)등이 유포되는 웹사이트를 관리합니다.
⑥ 하이제커 등이 발견된 웹사이트를 관리합니다.
⑦ 피싱 유도 등이 발견된 웹사이트를 관리합니다.
⑧ 불법 공유 사이트(Warez)를 관리합니다.
⑨ 아직 위험성이 확실하게 판단되지 않았으나 과거 악성코드를 비롯한 위험 요소가 존재하였거나 분석
요청이 있었던 웹사이트를 관리합니다.
2번부터 9번 항목까지를 살펴보면 맥아피의 '사이트 어드바이저'와 유사한 기능을 제공하고 있음을 알 수 있습니다. 다만 사이트 어드바이저와 같은 프로그램은 IE 등에 BHO 형식으로 추가되는 기능이지만 A-squared는 자체적으로 사이트 연결 등을 감시합니다.
또한 각 설정에서 제공하는 위험 사이트는 자체적으로 분석된 DB를 이용하는 것 같습니다. 국내에서 서비스하는 업체가 아닌 만큼 국내 사이트에 대한 정보는 부족해 보입니다.
(2) 사용자 처리 알람창
① 처리 방법이 Alert으로 설정된 경우
쿠키를 제어하거나 문제가 있는 웹사이트를 제어할 때는 위와 같은 알람창이 활성화 됩니다.
② Block and Notify 로 설정된 경우
이처럼 간단한 알람창이 트레이 아이콘 위에서 활성화 됩니다.
자동으로 Block 처리된 경우 Host Rule에 규칙이 추가되지 않습니다. 기본 설정에서 위와 같은 팝업을 상당히 많이 볼 수 있습니다.
(3) Host rule
Surf Protection의 에서 웹사이트으로 감지된 웹사이트를 관리하거나 새로운 규칙을 추가할 수 있습니다.
① Import hosts : 현재 제 시스템에서 쿠키 관련 기능이 정상적으로 동작하지 않아서 정확한 정보는
아닙니다만 사용자가 허락하거나 문제가 없는 사이트로 판명되어 쿠키가 허용되었을 경우, 다시
해당사이트에서 재접속하여 새롭게 쿠키가 생성될 때 이에 대한 규칙을 미리 정하여 두는 기능으로
예상됩니다.
② 특정 사이트 관리
'Add new rule' 클릭으로 특정 사이트의 접속을 차단하거나 쿠키 생성을 관리할 수 있습니다.
차단된 사이트는 아래와 같이 연결이 차단됩니다.
다소 아쉬운 부분은 BHO 등으로 IE에 삽입되어 제공되는 기능이 아니다보니 위와 같은 차단 화면
에서 웹브라우저에 화면에 특별한 정보를 표시하지 못하여, 해당 사이트의 서버 문제과 같은 문제로
연결이 안되는 것과 구분이 안된다는 것입니다.
또한, 실시간 감시를 전적으로 행동기반탐지 기능에 맡기고 있는 특성일 수도 있으나 Surf Protection
도 상당히 많은 알람창을 띄웁니다. 개인적으로는 해당 기능은 가급적 처리 방법을 자동 차단으로
바꾸어 설정하면 웹서핑 등 웹브라우저 사용을 좀 더 쉽게 할 수 있을 것 같습니다.
M-IDS와 달리, 자동 처리로 바꾼다고 해서 보안 수준이 급격하게 떨어지거나 오진의 문제가 발생
하는 것은 아닙니다. 물론 일부 웹사이트는 접속이 차된될 수 있지만, 그때만 Host rule 부분을 참고
하여 이 문제가 웹사이트의 자체적인 문제인지 A-squared의 차단으로 이루어진 것이지만 판단하면
될 듯합니다.
결론적으로 A-spuared는 내부 침입 방지 기능은 Malware-IDS 기능으로, 외부 침입 방지 기능은 Surf Protection 기능을 이용하고 있다고 보시면 됩니다. Surf Protection은 분명히 미흡한 부분이 존재하고 있습니다. 그러나 최근에는 일반 개인용 PC에서도 네트워크 단에서의 차단 기능(4)이 이슈가 되고 있으며, 현재 웹사이트를 통한 위험 요소 전파가 가장 큰 문제가 되고 있는 만큼, 다소 불편하더라도 Surf Protection 기능을 활성화하여 사용하는 것이 좋을 듯 합니다.
- 이상입니다.
(1) Surf Protection - 환경 설정 조정
Surf Protection은 총 9개의 설정으로 사용자 PC를 보호합니다.
9개의 설정은 각각 Block Silently(알림창 없이 자동 차단)/Block and Notify(차단 후 차단 정보 알림)/
Alert(사용자 처리)/ Don't Block(무조건 허용) 등 4가지 행동 처리를 설정할 수 있습니다.
① 쿠키(Cookie) 생성 및 사용 차단 : 설명으로는 분명히 쿠키 생성시 차단하는 기능인데 제 시스템에서
간혹 쿠키가 그대로 생성될 때가 있었습니다. 기본 설정이 Block and Notify이지만 쿠키를 반드시
사용하는 로그인 등의 행동이 잘되어 이상하다 싶었는데 아래와 같이 쿠키가 생성되고 있었습니다.
이 부분은 특정 시스템에서 발생하는 일종의 버그라 예상됩니다.
② 광고 등을 목적으로 하는 웹사이트를 관리합니다. 2번부터 9번 항목까지 나오는 host는 웹사이트를
의미한다고 보시면 됩니다. 1번 항목과 2번 항목 때문인지 구글 애드센스의 특정 광고는 해당 광고
웹사이트 로의 연결이 안될 때가 있습니다.
③ 악성코드가 유포되는 웹사이트를 관리합니다.
④ 취약점 공격이 발견된 웹사이트를 관리합니다.
⑤ 허위 보안 제품(Fake AV)등이 유포되는 웹사이트를 관리합니다.
⑥ 하이제커 등이 발견된 웹사이트를 관리합니다.
⑦ 피싱 유도 등이 발견된 웹사이트를 관리합니다.
⑧ 불법 공유 사이트(Warez)를 관리합니다.
⑨ 아직 위험성이 확실하게 판단되지 않았으나 과거 악성코드를 비롯한 위험 요소가 존재하였거나 분석
요청이 있었던 웹사이트를 관리합니다.
2번부터 9번 항목까지를 살펴보면 맥아피의 '사이트 어드바이저'와 유사한 기능을 제공하고 있음을 알 수 있습니다. 다만 사이트 어드바이저와 같은 프로그램은 IE 등에 BHO 형식으로 추가되는 기능이지만 A-squared는 자체적으로 사이트 연결 등을 감시합니다.
또한 각 설정에서 제공하는 위험 사이트는 자체적으로 분석된 DB를 이용하는 것 같습니다. 국내에서 서비스하는 업체가 아닌 만큼 국내 사이트에 대한 정보는 부족해 보입니다.
(2) 사용자 처리 알람창
① 처리 방법이 Alert으로 설정된 경우
쿠키를 제어하거나 문제가 있는 웹사이트를 제어할 때는 위와 같은 알람창이 활성화 됩니다.
② Block and Notify 로 설정된 경우
자동으로 Block 처리된 경우 Host Rule에 규칙이 추가되지 않습니다. 기본 설정에서 위와 같은 팝업을 상당히 많이 볼 수 있습니다.
(3) Host rule
Surf Protection의 에서 웹사이트으로 감지된 웹사이트를 관리하거나 새로운 규칙을 추가할 수 있습니다.
① Import hosts : 현재 제 시스템에서 쿠키 관련 기능이 정상적으로 동작하지 않아서 정확한 정보는
아닙니다만 사용자가 허락하거나 문제가 없는 사이트로 판명되어 쿠키가 허용되었을 경우, 다시
해당사이트에서 재접속하여 새롭게 쿠키가 생성될 때 이에 대한 규칙을 미리 정하여 두는 기능으로
예상됩니다.
② 특정 사이트 관리
'Add new rule' 클릭으로 특정 사이트의 접속을 차단하거나 쿠키 생성을 관리할 수 있습니다.
차단된 사이트는 아래와 같이 연결이 차단됩니다.
다소 아쉬운 부분은 BHO 등으로 IE에 삽입되어 제공되는 기능이 아니다보니 위와 같은 차단 화면
에서 웹브라우저에 화면에 특별한 정보를 표시하지 못하여, 해당 사이트의 서버 문제과 같은 문제로
연결이 안되는 것과 구분이 안된다는 것입니다.
또한, 실시간 감시를 전적으로 행동기반탐지 기능에 맡기고 있는 특성일 수도 있으나 Surf Protection
도 상당히 많은 알람창을 띄웁니다. 개인적으로는 해당 기능은 가급적 처리 방법을 자동 차단으로
바꾸어 설정하면 웹서핑 등 웹브라우저 사용을 좀 더 쉽게 할 수 있을 것 같습니다.
M-IDS와 달리, 자동 처리로 바꾼다고 해서 보안 수준이 급격하게 떨어지거나 오진의 문제가 발생
하는 것은 아닙니다. 물론 일부 웹사이트는 접속이 차된될 수 있지만, 그때만 Host rule 부분을 참고
하여 이 문제가 웹사이트의 자체적인 문제인지 A-squared의 차단으로 이루어진 것이지만 판단하면
될 듯합니다.
결론적으로 A-spuared는 내부 침입 방지 기능은 Malware-IDS 기능으로, 외부 침입 방지 기능은 Surf Protection 기능을 이용하고 있다고 보시면 됩니다. Surf Protection은 분명히 미흡한 부분이 존재하고 있습니다. 그러나 최근에는 일반 개인용 PC에서도 네트워크 단에서의 차단 기능(4)이 이슈가 되고 있으며, 현재 웹사이트를 통한 위험 요소 전파가 가장 큰 문제가 되고 있는 만큼, 다소 불편하더라도 Surf Protection 기능을 활성화하여 사용하는 것이 좋을 듯 합니다.
- 이상입니다.
- 노턴은 상당히 세세한 부분까지 컨트롤하는 HIDS 기능이 추가되어 있으나 기본설정에서는 해당 기능이 비활성화되어 있습니다. Sonar 기능은 기본적으로 활성화되어 있으나 이 기능은 사용자가 어플리케이션을 조정하는 의미보다는 노턴 자체에서 분석한 위험도에 따라 차단/허용을 구분하는 형태의 기능입니다. [본문으로]
- Hijacker는 강제로 검증되지 않은 특정사이트나 검색엔진을 사용하게 하는 악성코드를 의미합니다. [본문으로]
- 악성코드들이 디버거와 유사하게 작동하여 내부 정보를 빼낼 때가 있다고 합니다. [본문으로]
- 크게 두 가지입니다. 하나는 카스퍼스키나 안티버의 웹트래픽 검사같은 네트워크 단에서의 악성코드를 차단하기 위한 실시간 감시 기능이며, 두번째는 안랩의 사이트가드나 맥아피의 사이트 어드바이저와 같은 기능으로 악성코드나 피싱등의 사회공학적 공격이 포함된 웹사이트를 차단하는 기능이 있습니다. [본문으로]
반응형
'▶ 보안 제품 리뷰 > :: Emsisoft' 카테고리의 다른 글
| A-squared Anti-Malware 4.0 리뷰 (6-1) - HijackFree (2) | 2009.04.11 |
|---|---|
| A-squared Anti-Malware 4.0 리뷰 (5) - 기타 기능 (2) | 2009.04.08 |
| A-squared Anti-Malware 4.0 리뷰 (4) - 환경 설정(Configuration) (0) | 2009.04.05 |
| A-squared Anti-Malware 4.0 리뷰 (2) - 메인 화면 (UI) / 수동 검사 (0) | 2009.03.28 |
| A-squared Anti-Malware 4.0 리뷰 (1) - 개요 및 설치 과정 (9) | 2009.03.26 |