지속 위협 대응 가능한가emcweb.co.kr/2014/edm/20140710_forum_thanks/download/e02.pdf ·...

1 © Copyright 2014 EMC Corporation. All rights reserved.

지능형 지속 위협! 대응 가능한가? 오상언 차장 안랩


Incidents

2009. 7•7 DDoS

2011. 개인정보 유출

2011. 금융기관 해킹 사고

2011. 3•4 DDoS

2012. E방송 개인정보 유출

2013. 3•20 전산망 마비

2013. 6•25 DDoS

2012. J언론 해킹사고


APT 공격 프로세스

운영 Layer

네트워크 Layer 엔드포인트(서버 & 클라이언트 PC)

악성코드 다운로드 2

악성코드 모듈 업데이트 4

내부 DB 접근 5

공격자 기업 내부

Command & Control

신종 악성코드 감염 3

데이터 유출 6

악성코드

유포 1


Malware 대응 모범 사례? 한계?

보안 모니터링

온라인 멀티 AV 엔진 서비스

온라인 샌드박스 분석 서비스

악성코드 제작자

잠복시켜 놓은

악성코드의 노출 확인

VM VM

VM VM

VM VM

VM VM

OS OS

OS OS

분석 대상 파일을 최대한 많이 확보할 수 있는 방법은?

상시 감시 중인 해커에게 노출되지 않고 샘플을 분석하는 방법은?

전문적인 악성코드 분석 툴 및 노하우를 확보할 수 있는 방법은?

24x7x365 실시간으로 위협을 감지하고 분석할 수 있는 방법은?

의심 파일 접수

다운로드 파일 추출

• 악성코드 모듈 교체 • PC 포맷과 같은 명령 전달

자체 동적 분석 인프라 구축


APT 솔루션 포지션

Network Forensic

Secure Web & Email gateway

Connection Analysis

Advanced Malware

Protection

AV

∙ TrusWatcher(MDS) ∙ FireEye ∙ Lastline

∙ Trend Micro ∙ Symantec ∙ McAfee

∙ Cisco Ironport ∙ Blue Coat ∙ Websense

∙ Damballa ∙ NorseCorp ∙ Threatstop

∙ RSA NetWitness (SA) ∙ Solera

FW/IPS/UTM ∙ Palo Alto Networks ∙ Check Point ∙ Fortinet

Malware Analysis

∙ ValidEdge (McAfee) ∙ Norman ∙ GFI sandbox

packet

file

endpoint network

Network Forensic

Malware Analysis

분석

대상

수집 영역

Connection Analysis

FW IPS

UTM

SWG / SEG

Advanced Malware

Protection

AV

관련 제품 영역


APT! What? How? Do?

Collection 유입경로(HTTP, FTP, MAIL, SMB, HTTPS, USB, ETC . . . . .)

PE, Non-PE

Analysis Behavior Analysis, Contents Analysis, Anti-VM Intelligence, False Positive

Monitoring Visibility

Response Disk Format vs. Malware Remediation/Delete


Collection

FTP E-mail Messenger Web PE File

Non-PE File


Analysis

알려지지 않은 파일 (Unknown)

정상 (Known Normal)

악성 (Known Malicious)

위협 (Critical, High)

정상

잠재적인 위협 (Suspicious)

Files

시그니처 기반 탐지 행위기반탐지/DICA

평판기반탐지

File Process System Network Registry


Analysis AhnLab TrusWatcher 경쟁사

Snapshot B (파일 실행 후)

Snapshot A (파일 실행 전)

Multi-dimensional Dynamic Analysis

파일

네트워크

레지스트리

프로세스

특정 레지스트리 변화

특정 파일 /프로세스 변화

특정 네트워크 연결 변화

정상

정상

정상

악성

악성

악성

or

or

or

Difference or Notification-based Behavior Analysis

Infected State (연관 행위 종료 후)

파일

네트워크

레지스트리

프로세스

클라우드 탐지

시그니처 탐지 평판 기반 탐지

행위 기반 탐지

연관 관계 분석 URL/IP 탐지

real-time hooking

Clean State (파일 실행 전)


Analysis

동적 지능형 콘텐트 분석 상세

정상 파일 Exploit 파일

winword.exe winword.exe

DLL #1

DLL #2

DLL #3

DLL #1

DLL #2

DLL #3

Heap

ShellCode

EIP EIP

Create Heap

Exploit!!!

Exploit 파일 (DICA 동작)

winword.exe

DLL #1

DLL #2

DLL #3

Heap

ShellCode

EIP

Exploit!!!

DETECT!!

Debug thread


Analysis

파일 유입

가상 머신 환경

File DNA 분석 엔진

동적 콘텐트 분석 엔진

동적 행위 분석 엔진 known

malware filtering

파일 샘플 evasion 악성코드 탐지

unknown malware filtering

정적 분석 level Evasion 분석

동적 분석 level Evasion 분석

파일 시스템

Virtual 하드웨어

프로세서 인스트럭션

메모리 레지스트리 키 & 값

가상머신 라이선스 key

실행중인 프로세스

string 기반 패킹 탐지

패턴 기반 패킹 탐지

phase I. phase II.

압축 (compression)

패킹 (packing)

가상머신/샌드박스 우회

(anti-VM, anti-sandbox)

압축 포맷 분석 및 해제

Compression, Packing, Anti-VM, Anti-Sandbox 대응


Monitoring Critical (신종/변종 악성코드)

Level 10

Level 9

Level 8

High (알려진 악성코드)

Level 7

Level 6

Level 5

Level 4

Low (의심스러운 행위 파일)

Level 3

Level 2

Level 1

Total 218,526

Critical 11,896

High 170,004

Low 20,952

Normal 15,674


Response

경쟁사 AhnLab TrusWatcher

Endpoint Layer

악성코드 삭제

Network Layer

악성코드 진단

파일 수집

Network Layer

파일 수집

악성코드 진단

자동 or 수동

Endpoint Layer 2차 대응 지연 -. 실질적인 조치 불가 -. AV 실행? -. 수동삭제? -. PC 포맷?

1차 대응 지연 -. PC 사용자 파악?


Response

TrusAnalyzer

TrusWatcher Controller

2

3

TrusWatcher ZPX 1

4

5

TrusWatcher Agent

파일 추출 및 분석 시작

1

PC내 파일 다운로드

2

분석 완료 및 악성 판정

4

분석 소요 시간 대응 소요 시간

기본 치료 기능

실행 보류 기능 execution holding

잠재 악성코드 실행 차단

악성코드 실행 → 악성 행위 발생 가능

삭제 명령 전달

다운로드된 파일 실행

5 3

정상 판정 실행 허용

악성 판정 실행 홀딩 유지 Execution Holding

동작


Response

Network Layer

Endpoint Layer

Encrypted traffic in the Network Layer: Unable to collect or analyze file

S/MIME, PGP SSL/TLS SSH/SFTP Attacker’s

Encryption protocol

Agent in the Endpoint Layer:

Extract Collect file Upload file to TW Analyze

Encrypted traffic/ session

Attacker’s Client Program

Mail Client SSH SFTP

Web browser


APT System + Security Systems Network

End Point

Unknown Malware detection/analysis info

(IP, Protocol, Port, File, MD5…)

FW, Switch deny log info

IDS, IPS detection info (sig-based detection, raw data)

Network Packet analysis info

Endpoint detection/analysis info (AV, DLP….)

Real Time Monitoring

Alert

Defense

Black/White

DB Mgr


APT System Expansion

Advanced Malware Defense System

AhnLab TrusWatcher

Office Web/Mail… Network

Connection Layer

Cloud / Web Storage

Update Server

Messenger …

지속 위협 대응 가능한가emcweb.co.kr/2014/edm/20140710_forum_thanks/download/e02.pdf ·...

Documents