백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판

백신프로그램의원리와동작

2015.11.17 (V1.0)

안랩시큐리티대응센터(ASEC) 분석팀

차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임연구원

© AhnLab, Inc. All rights reserved. 2

알림

• 본발표자료는개인의견으로

안랩의공식입장과다를수있습니다.

•덕질자료가포함되어있을수있습니다.


:~$whoami

Profile

− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)

− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작

− 1989년 : Brain virus 변형 감염

− 1997년 : AhnLab 입사

− AhnLab 책임 연구원 (Senior Antivirus Researcher)

− 시큐리티 대응센터(ASEC) 분석팀에서

악성코드 분석및 연구 중

- 민간합동 조사단, 사이버보안전문단

- AVED, AMTSO, vforum 멤버

- Wildlist Reporter

Contents

01

02

03

04

05

06

07

Antivirus

백신프로그램구성과한계

대응과정

악성코드진단법

악성코드의역습

백신프로그램의진화

맺음말


보안의현실

• 완벽한보안은존재하지않음

-

* Source : War Games (1983)

01

Antivirus


AntiVirus시도

행위

− 수상한행위경고

− 사용자판단필요

무결성 검사

− 알려지지않은바이러스진단

− 업데이트등으로정상파일변경

가능

− 알려진바이러스만진단

− 비교적간단한사용법

− 오진가능성낮음


백신프로그램

• 백신프로그램

- Antivirus, Antimalware 등으로불림

* Source : http://en.wikipedia.org/wiki/Antivirus_software


백신프로그램등장

• 발전

- Vaccine -> Vaccine II -> V2Plus -> V3



• 발전

- Vaccine -> Vaccine II -> V2Plus -> V3



• 현재백신프로그램

-


결국백신프로그램승 !

진단/치료개념

다른 프로그램은대체로 예방 개념

일정수준예방

일부 악성코드만일반에 널리 퍼짐

낮은오진

Signature 기반으로 낮은 오진

간편한사용

특별한 지식 없이도 사용 가능

백신프로그램선택이유

02

백신프로그램의구성과한계


백신프로그램구성

수동검사

파일과 레지스트리 등에서 검사

실시간검사

파일 복사, 실행 때 검사

행위검사

실행 되는 프로그램 행위 검사

방화벽

외부 접속 시도 검사

백신프로그램구성


백신프로그램한계

알려진악성코드위주로진단

샘플이 확보되어야 진단 가능

신종악성코드제한적진단/예방

제한적 신종 진단

공격자도테스트가능

공격자가 절대적으로 유리

오진우려

진단율과 오진율/성능의저울질

백신프로그램한계

03

대응과정

© AhnLab, Inc. All rights reserved.

대응과정

• 문의사항확인 (중복, 이슈등)

• 정상유무검사

• 대내외커뮤니케이션

샘플접수

• 종류파악

• 기분석내용파악

• 악성코드유무확인

• 상세분석필요유무결정

분석

• 엔진QA

• 엔진& 시그니처배포

엔진& 시그니처QA 및배포

• 적절한진단법찾아시그니처추가

• 시그니처대응되지않을때진단법개발

• 인식할수없는파일포맷의경우파일포맷인식개발

시그니처반영및엔진코드개발

대응과정


Analysis

MS-

DOS

ABAPAutoCA

D (LSP)

Windows

BAT

BeOS EPOC

Boot

(Win)

Symbi

an

Android

Java

OS X Linux

Unix

MSIL

PalmOS

/2

Perl Python

MS

Office

Boot

Flash

Corel

Script

PHP

IRC

Shell

script

pdf

BSDSolaris

Java

Script

iOS

HWPAmiPr

o

Visual

Basic

Plugin

Hardware (firmware, UEFI …)

Power

Shell

NDS

Data

Mac8

Bit

Boot

ASP

Open

Office


Portable Executable

• PE (Portable Execute)

- Windows 실행파일

-가장많은악성코드파일종류


Portable Executable

• MSIL (Microsoft Intermediate Language)

- 신종악성코드의일정부분차지

-Obfuscation 도발생중


Portable Executable

• Visual Basic

- Old School

-최근Packer 등장


Portable Executable

• Cygwin

- Linux Toolsporting


Portable Executable

• CPL (Control Panel)

- 주로South America 악성코드에서발견


Linux

• ELF

-


OS X

• Fat Binary

- 0xCAFEBABE

• 파워PC

- 0xFEEDFACE

• 인텔

-32비트 : 0xCEFAEDFE

-64 비트 : 0xCFFAEDFE


Java

• Java

-


Macro

• MS Office

- Word Basic, VBA(Visual Basic Application)


Macro

OpenOffice 악성코드

• OpenOffice

-http://www.openoffice.org에서오픈 소스 프로젝트로진행되는 오피스 프로그램

-Windows, Linux, OS X 등지원

• Badbunny

- 2007년5월22일발견

* OpenOfficeMacro를이용한악성코드 (버그로제대로실행되지않음)


Script

OS 의존

− Batch

− Java Script

− Visual Basic Script

− Shell Script

− AppleScript

− mIRC Script 등

icon icon

OS 독립

− PHP

− Perl

− Python 등


Script

• Batch

- 파일삭제

- 다른악성코드생성


Script

• mIRC

• Pirch


Script

• Java Script

-


Script

• Java Script

-Obfuscation


Script

• Visual Basic Script

-


Script

• Visual Basic Script

- Obfuscation


Script

• Shell

-http://rixstep.com/1/20060311,00.shtml


Script

• PHP

-


Script

• Perl

-


Script

• Python

-


Script

• LISP

-

04

악성코드진단법


월리를찾아라

• Wally

• Source : google


월리를찾아라

• Where’s Wally ?

• Source : http://www.thedrum.com/news/2012/10/23/where-s-wally-celebrating-his-25th-anniversary-wembley-stadium-campaign


진단법

기본진단법

String

Wildcards Hash


진단법

확장진단법

Generic

Detection

Heuristic

Detection

파일외형(Icon, Version. 인

증서등)


진단법

추가진단법

Cloud

행위 평판


진단법

• Gundam을구분하시오

* source : http://kr.gundam.info/archives/index.html


진단법

• 포괄진단 (Generic Detection)

-모양이조금씩달라도모두Zaku!!!

* source : http://potter40.egloos.com


진단법

• 휴리스틱 (Heuristic)

-경험적진단. 예… Gundamvs 엘가임

* source : google


오진

• 오진 !

* Source : http://blog.myesr.org/experts-share-strategies-to-help-radiologists-justify-their-imaging-decisions/


오진

• 오진종류

icon

분석문제

− 악성코드로잘못분석

− 악성코드와유사프로그램

− 악성코드에서이용하는

프로그램

잘못된진단값 의심스러움진단

− 컴파일러공통영역

− 앞부분이동일한파일

− 바이러스감염이나변조형태

− 엄밀한오진은아님


오진

• Installer, sfx, autoit, Bat2exe …

MZ header

Program

data

MZ header

Program

data


오진

• winrar/7zip sfx/Anno Setup

- Analyst는오진한번쯤낼뻔한파일형태


끊없는…

• 진단율 vs 오진율

- 끊없는고민

* source : google

05

악성코드의역습


악성코드기법

진단회피기술

Encryption

Anti-AntiVirus

Polymorphic /

Metamorphic

Stealth /

Rootkit


Oh my god !

• 쏟아지는악성코드

- 2005년부터신종악성코드급증. 2007년부터기하학적으로증가

-현재하루평균수십만개신종악성코드발견

* source : http://www.av-test.org/en/statistics/malware/


변화

다수가변형양산

다양한 악성코드 제작자들

계속 증가하는 악성코드 수

다양한 Packer로기존 진단 무력화 시도

Trojan horse

증상 파악이 용의한 worm, virus 대신

Trojan horse

지역화

특정 지역에 맞게 제작

표적화

소수의 표적공격으로 발견이 어려움

악성코드현황

06

백신프로그램의진화


Antivirus is dead ?!

• Symantec Brian Dye senior vice president 인터뷰

- Antivirus is dead

* source : http://online.wsj.com/news/articles/SB10001424052702303417104579542140235850578

* source : http://www.symantec.com/about/news/release/article.jsp?prid=20140505_01



• 반론

- 단순시그니처기반제품이아닌다양한기능탑재로진화중

* source : http://support.pandasecurity.com/blog/panda-security/antivirus-dead-long-live-antivirus/

* Source : http://blogs.avg.com/product/antivirus-dead/



• 반론

-

* Source : http://www.eset.com/us/resources/detail/av-is-not-dead/


발전하는백신프로그램

시그니처진단

문자열

wildcard

crc

특성화 등

Generic/Heuristic 진단

유사 변형 진단

완전히 새로운 형태 진단 제한적

진단율 높을 수록 오진 가능성 상승

행위기반

완전한 새로운 형태 진단 못함

유사 정상 프로그램과 구분 어려움

비교적 높은 오진 가능성

Cloud/평판

개발자 PC에는 적합하지 않음

정상 프로그램 내에 포함 한다면 ?!

사용자가 적다고 악성은 아님

악성코드판단


잘만든 signature/rule 하나

• 1개로수많은변형진단

- 유사한형태를진단해제작자들도그냥진단된상태로배포


시도

• Machine Learning

- 빅데이터를유용한정보로바꿔주는개념의기술

* Source : http://www.darkreading.com/vulnerabilities---threats/researchers-enlist-machine-learning-in-malware-detection/d/d-id/1321423&

http://www.boannews.com/media/view.asp?idx=47206


시도

• Machine Learning

- 한계도명확

* Source : http://www.boannews.com/media/view.asp?idx=48521&kind&sub_kind


현재마땅한대안없음

• 지나친경고혹은오탐

- 행위기반등도결국시그니처기반

-시그니처기반+ 예방기능필요

* source : http://www.itworld.co.kr/t/36/보안/87539

07

맺음말


백신은보안을위한한가지

• 단계적대응

- 공격자를대비하기위해서는단계적방어체계구성필요


모두가함께해야하는보안

개인

보안 관심 및 습관

신고

기업/기관

보안 체계

보안 투자

정보 공유

보안업체

대응

기술 개발

정보 공유

정부

인력 양성

정보 공유

법 집행

외국과 협력

보안


협력의어려움

• 드라마속수사기관협력문제 (1)

- 위조지폐가발견됨

* source : CSIMiami Season 5x03 death pool 중


협력의어려움


- 서로같은사안을조사하고있음



협력의어려움


- 원하는바가다름



협력의어려움


- 문제점



협력의어려움


- 대상이다름

* source : CSIMiami Season 5x09 going, going, gone 중


협력의어려움


- 기밀

* source : CSIMiami Season 5x09 going, going, gone 중


Wrap up

• 정리

-백신프로그램은악성코드의진단/치료위주의사후처리프로그램

-백신프로그램의한계는분명히존재

-백신프로그램은악성코드에대한단계적대처방법중하나

-따라서평소악성코드예방을위한습관이중요


모두가함께해야하는보안

• 현재의보안문제

* source : http://www.security-marathon.be/?p=1786


Q&A

email : [email protected] / [email protected]

http://xcoolcat7.tistory.com

https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

D E S I G N Y O U R S E C U R I T Y

백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판

Technology