백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판
TRANSCRIPT
백신프로그램의원리와동작
2015.11.17 (V1.0)
안랩시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임연구원
© AhnLab, Inc. All rights reserved. 2
알림
• 본발표자료는개인의견으로
안랩의공식입장과다를수있습니다.
•덕질자료가포함되어있을수있습니다.
© AhnLab, Inc. All rights reserved. 3
:~$whoami
Profile
− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)
− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작
− 1989년 : Brain virus 변형 감염
− 1997년 : AhnLab 입사
− AhnLab 책임 연구원 (Senior Antivirus Researcher)
− 시큐리티 대응센터(ASEC) 분석팀에서
악성코드 분석및 연구 중
- 민간합동 조사단, 사이버보안전문단
- AVED, AMTSO, vforum 멤버
- Wildlist Reporter
Contents
01
02
03
04
05
06
07
Antivirus
백신프로그램구성과한계
대응과정
악성코드진단법
악성코드의역습
백신프로그램의진화
맺음말
© AhnLab, Inc. All rights reserved. 5
보안의현실
• 완벽한보안은존재하지않음
-
* Source : War Games (1983)
01
Antivirus
© AhnLab, Inc. All rights reserved. 7
AntiVirus시도
행위
− 수상한행위경고
− 사용자판단필요
무결성 검사
− 알려지지않은바이러스진단
− 업데이트등으로정상파일변경
가능
− 알려진바이러스만진단
− 비교적간단한사용법
− 오진가능성낮음
© AhnLab, Inc. All rights reserved. 8
백신프로그램
• 백신프로그램
- Antivirus, Antimalware 등으로불림
* Source : http://en.wikipedia.org/wiki/Antivirus_software
© AhnLab, Inc. All rights reserved. 9
백신프로그램등장
• 발전
- Vaccine -> Vaccine II -> V2Plus -> V3
© AhnLab, Inc. All rights reserved. 10
백신프로그램등장
• 발전
- Vaccine -> Vaccine II -> V2Plus -> V3
© AhnLab, Inc. All rights reserved. 11
백신프로그램등장
• 현재백신프로그램
-
© AhnLab, Inc. All rights reserved. 12
결국백신프로그램승 !
진단/치료개념
다른 프로그램은대체로 예방 개념
일정수준예방
일부 악성코드만일반에 널리 퍼짐
낮은오진
Signature 기반으로 낮은 오진
간편한사용
특별한 지식 없이도 사용 가능
백신프로그램선택이유
02
백신프로그램의구성과한계
© AhnLab, Inc. All rights reserved. 14
백신프로그램구성
수동검사
파일과 레지스트리 등에서 검사
실시간검사
파일 복사, 실행 때 검사
행위검사
실행 되는 프로그램 행위 검사
방화벽
외부 접속 시도 검사
백신프로그램구성
© AhnLab, Inc. All rights reserved. 15
백신프로그램한계
알려진악성코드위주로진단
샘플이 확보되어야 진단 가능
신종악성코드제한적진단/예방
제한적 신종 진단
공격자도테스트가능
공격자가 절대적으로 유리
오진우려
진단율과 오진율/성능의저울질
백신프로그램한계
03
대응과정
© AhnLab, Inc. All rights reserved.
대응과정
• 문의사항확인 (중복, 이슈등)
• 정상유무검사
• 대내외커뮤니케이션
샘플접수
• 종류파악
• 기분석내용파악
• 악성코드유무확인
• 상세분석필요유무결정
분석
• 엔진QA
• 엔진& 시그니처배포
엔진& 시그니처QA 및배포
• 적절한진단법찾아시그니처추가
• 시그니처대응되지않을때진단법개발
• 인식할수없는파일포맷의경우파일포맷인식개발
시그니처반영및엔진코드개발
대응과정
© AhnLab, Inc. All rights reserved. 18
Analysis
MS-
DOS
ABAPAutoCA
D (LSP)
Windows
BAT
BeOS EPOC
Boot
(Win)
Symbi
an
Android
Java
OS X Linux
Unix
MSIL
PalmOS
/2
Perl Python
MS
Office
Boot
Flash
Corel
Script
PHP
IRC
Shell
script
BSDSolaris
Java
Script
iOS
HWPAmiPr
o
Visual
Basic
Plugin
Hardware (firmware, UEFI …)
Power
Shell
NDS
Data
Mac8
Bit
Boot
ASP
Open
Office
© AhnLab, Inc. All rights reserved. 19
Portable Executable
• PE (Portable Execute)
- Windows 실행파일
-가장많은악성코드파일종류
© AhnLab, Inc. All rights reserved. 20
Portable Executable
• MSIL (Microsoft Intermediate Language)
- 신종악성코드의일정부분차지
-Obfuscation 도발생중
© AhnLab, Inc. All rights reserved. 21
Portable Executable
• Visual Basic
- Old School
-최근Packer 등장
© AhnLab, Inc. All rights reserved. 22
Portable Executable
• Cygwin
- Linux Toolsporting
© AhnLab, Inc. All rights reserved. 23
Portable Executable
• CPL (Control Panel)
- 주로South America 악성코드에서발견
© AhnLab, Inc. All rights reserved. 24
Linux
• ELF
-
© AhnLab, Inc. All rights reserved. 25
OS X
• Fat Binary
- 0xCAFEBABE
• 파워PC
- 0xFEEDFACE
• 인텔
-32비트 : 0xCEFAEDFE
-64 비트 : 0xCFFAEDFE
© AhnLab, Inc. All rights reserved. 26
Java
• Java
-
© AhnLab, Inc. All rights reserved. 27
Macro
• MS Office
- Word Basic, VBA(Visual Basic Application)
© AhnLab, Inc. All rights reserved. 28
Macro
OpenOffice 악성코드
• OpenOffice
-http://www.openoffice.org에서오픈 소스 프로젝트로진행되는 오피스 프로그램
-Windows, Linux, OS X 등지원
• Badbunny
- 2007년5월22일발견
* OpenOfficeMacro를이용한악성코드 (버그로제대로실행되지않음)
© AhnLab, Inc. All rights reserved. 29
Script
OS 의존
− Batch
− Java Script
− Visual Basic Script
− Shell Script
− AppleScript
− mIRC Script 등
icon icon
OS 독립
− PHP
− Perl
− Python 등
© AhnLab, Inc. All rights reserved. 30
Script
• Batch
- 파일삭제
- 다른악성코드생성
© AhnLab, Inc. All rights reserved. 31
Script
• mIRC
• Pirch
© AhnLab, Inc. All rights reserved. 32
Script
• Java Script
-
© AhnLab, Inc. All rights reserved. 33
Script
• Java Script
-Obfuscation
© AhnLab, Inc. All rights reserved. 34
Script
• Visual Basic Script
-
© AhnLab, Inc. All rights reserved. 35
Script
• Visual Basic Script
- Obfuscation
© AhnLab, Inc. All rights reserved. 36
Script
• Shell
-http://rixstep.com/1/20060311,00.shtml
© AhnLab, Inc. All rights reserved. 37
Script
• PHP
-
© AhnLab, Inc. All rights reserved. 38
Script
• Perl
-
© AhnLab, Inc. All rights reserved. 39
Script
• Python
-
© AhnLab, Inc. All rights reserved. 40
Script
• LISP
-
04
악성코드진단법
© AhnLab, Inc. All rights reserved. 42
월리를찾아라
• Wally
• Source : google
© AhnLab, Inc. All rights reserved. 43
월리를찾아라
• Where’s Wally ?
• Source : http://www.thedrum.com/news/2012/10/23/where-s-wally-celebrating-his-25th-anniversary-wembley-stadium-campaign
© AhnLab, Inc. All rights reserved.
진단법
기본진단법
String
Wildcards Hash
© AhnLab, Inc. All rights reserved.
진단법
확장진단법
Generic
Detection
Heuristic
Detection
파일외형(Icon, Version. 인
증서등)
© AhnLab, Inc. All rights reserved.
진단법
추가진단법
Cloud
행위 평판
© AhnLab, Inc. All rights reserved. 47
진단법
• Gundam을구분하시오
* source : http://kr.gundam.info/archives/index.html
© AhnLab, Inc. All rights reserved. 48
진단법
• 포괄진단 (Generic Detection)
-모양이조금씩달라도모두Zaku!!!
* source : http://potter40.egloos.com
© AhnLab, Inc. All rights reserved. 49
진단법
• 휴리스틱 (Heuristic)
-경험적진단. 예… Gundamvs 엘가임
* source : google
© AhnLab, Inc. All rights reserved. 50
오진
• 오진 !
* Source : http://blog.myesr.org/experts-share-strategies-to-help-radiologists-justify-their-imaging-decisions/
© AhnLab, Inc. All rights reserved. 51
오진
• 오진종류
icon
분석문제
− 악성코드로잘못분석
− 악성코드와유사프로그램
− 악성코드에서이용하는
프로그램
잘못된진단값 의심스러움진단
− 컴파일러공통영역
− 앞부분이동일한파일
− 바이러스감염이나변조형태
− 엄밀한오진은아님
© AhnLab, Inc. All rights reserved. 52
오진
• Installer, sfx, autoit, Bat2exe …
MZ header
Program
data
MZ header
Program
data
© AhnLab, Inc. All rights reserved. 53
오진
• winrar/7zip sfx/Anno Setup
- Analyst는오진한번쯤낼뻔한파일형태
© AhnLab, Inc. All rights reserved. 54
끊없는…
• 진단율 vs 오진율
- 끊없는고민
* source : google
05
악성코드의역습
© AhnLab, Inc. All rights reserved.
악성코드기법
진단회피기술
Encryption
Anti-AntiVirus
Polymorphic /
Metamorphic
Stealth /
Rootkit
© AhnLab, Inc. All rights reserved. 57
Oh my god !
• 쏟아지는악성코드
- 2005년부터신종악성코드급증. 2007년부터기하학적으로증가
-현재하루평균수십만개신종악성코드발견
* source : http://www.av-test.org/en/statistics/malware/
© AhnLab, Inc. All rights reserved. 58
변화
다수가변형양산
다양한 악성코드 제작자들
계속 증가하는 악성코드 수
다양한 Packer로기존 진단 무력화 시도
Trojan horse
증상 파악이 용의한 worm, virus 대신
Trojan horse
지역화
특정 지역에 맞게 제작
표적화
소수의 표적공격으로 발견이 어려움
악성코드현황
06
백신프로그램의진화
© AhnLab, Inc. All rights reserved. 60
Antivirus is dead ?!
• Symantec Brian Dye senior vice president 인터뷰
- Antivirus is dead
* source : http://online.wsj.com/news/articles/SB10001424052702303417104579542140235850578
* source : http://www.symantec.com/about/news/release/article.jsp?prid=20140505_01
© AhnLab, Inc. All rights reserved. 61
Antivirus is dead ?!
• 반론
- 단순시그니처기반제품이아닌다양한기능탑재로진화중
* source : http://support.pandasecurity.com/blog/panda-security/antivirus-dead-long-live-antivirus/
* Source : http://blogs.avg.com/product/antivirus-dead/
© AhnLab, Inc. All rights reserved. 62
Antivirus is dead ?!
• 반론
-
* Source : http://www.eset.com/us/resources/detail/av-is-not-dead/
© AhnLab, Inc. All rights reserved. 63
발전하는백신프로그램
시그니처진단
문자열
wildcard
crc
특성화 등
Generic/Heuristic 진단
유사 변형 진단
완전히 새로운 형태 진단 제한적
진단율 높을 수록 오진 가능성 상승
행위기반
완전한 새로운 형태 진단 못함
유사 정상 프로그램과 구분 어려움
비교적 높은 오진 가능성
Cloud/평판
개발자 PC에는 적합하지 않음
정상 프로그램 내에 포함 한다면 ?!
사용자가 적다고 악성은 아님
악성코드판단
© AhnLab, Inc. All rights reserved. 64
잘만든 signature/rule 하나
• 1개로수많은변형진단
- 유사한형태를진단해제작자들도그냥진단된상태로배포
© AhnLab, Inc. All rights reserved. 65
시도
• Machine Learning
- 빅데이터를유용한정보로바꿔주는개념의기술
* Source : http://www.darkreading.com/vulnerabilities---threats/researchers-enlist-machine-learning-in-malware-detection/d/d-id/1321423&
http://www.boannews.com/media/view.asp?idx=47206
© AhnLab, Inc. All rights reserved. 66
시도
• Machine Learning
- 한계도명확
* Source : http://www.boannews.com/media/view.asp?idx=48521&kind&sub_kind
© AhnLab, Inc. All rights reserved. 67
현재마땅한대안없음
• 지나친경고혹은오탐
- 행위기반등도결국시그니처기반
-시그니처기반+ 예방기능필요
* source : http://www.itworld.co.kr/t/36/보안/87539
07
맺음말
© AhnLab, Inc. All rights reserved. 69
백신은보안을위한한가지
• 단계적대응
- 공격자를대비하기위해서는단계적방어체계구성필요
© AhnLab, Inc. All rights reserved. 70
모두가함께해야하는보안
개인
보안 관심 및 습관
신고
기업/기관
보안 체계
보안 투자
정보 공유
보안업체
대응
기술 개발
정보 공유
정부
인력 양성
정보 공유
법 집행
외국과 협력
보안
© AhnLab, Inc. All rights reserved. 71
협력의어려움
• 드라마속수사기관협력문제 (1)
- 위조지폐가발견됨
* source : CSIMiami Season 5x03 death pool 중
© AhnLab, Inc. All rights reserved. 72
협력의어려움
• 드라마속수사기관협력문제 (1)
- 서로같은사안을조사하고있음
* source : CSIMiami Season 5x03 death pool 중
© AhnLab, Inc. All rights reserved. 73
협력의어려움
• 드라마속수사기관협력문제 (1)
- 원하는바가다름
* source : CSIMiami Season 5x03 death pool 중
© AhnLab, Inc. All rights reserved. 74
협력의어려움
• 드라마속수사기관협력문제 (1)
- 문제점
* source : CSIMiami Season 5x03 death pool 중
© AhnLab, Inc. All rights reserved. 75
협력의어려움
• 드라마속수사기관협력문제 (2)
- 대상이다름
* source : CSIMiami Season 5x09 going, going, gone 중
© AhnLab, Inc. All rights reserved. 76
협력의어려움
• 드라마속수사기관협력문제 (2)
- 기밀
* source : CSIMiami Season 5x09 going, going, gone 중
© AhnLab, Inc. All rights reserved. 77
Wrap up
• 정리
-백신프로그램은악성코드의진단/치료위주의사후처리프로그램
-백신프로그램의한계는분명히존재
-백신프로그램은악성코드에대한단계적대처방법중하나
-따라서평소악성코드예방을위한습관이중요
© AhnLab, Inc. All rights reserved. 78
모두가함께해야하는보안
• 현재의보안문제
* source : http://www.security-marathon.be/?p=1786
© AhnLab, Inc. All rights reserved. 79
Q&A
email : [email protected] / [email protected]
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7
D E S I G N Y O U R S E C U R I T Y