mcsi responder pro · 공격 탐지 및 분석 프로세스가 사용중인 dll, sys 파일 분석...

MCSI Responder Pro 메모리 포렌식, 악성코드 분석,

리버스 엔지니어링 솔루션

2015. 06

Copyright INSEC Co.,Ldt. All Rights Reserved.

MCSI Responder Pro 소개

메모리 내의 각종 어플리케이션 정보 수집

라이브 메모리 기반 정보 수집 및 분석

실행 프로세스 및 오픈 파일 정보 분석

Unknown, APT, Zero-Day 악성코드 탐지 및 분석

악성코드 자동화 리버싱

Rootkit & Trojans 탐지 및 분석

Digital DNA 기능을 이용한 악성 패턴 탐지


최신 APT 및

Zero-Day

공격 탐지 및 분석

프로세스가 사용중인

DLL, SYS 파일 분석

DLL에서 Export 된

API함수 분석

메모리 분석을 통한

신종 및 변종

악성코드 탐지

시스템에서 실행 중인

모듈에 대해 Binary 및

String 분석을 통해

악성코드 행동패턴 분석

Responder Pro 제품 장점


행위 분석을 통한 악성코드 탐지

은밀하게 활동하는 악성코드의 안티 포렌식 기술 파악

패킹, 난독화가 적용된 악성코드에 대한 대응 가능

윈도우 메모리 이미지 분석 REcon 샌드박스 기능을 이용한 악성코드 동적 분석

메모리 이미징 도구 FastDump Pro™ 포함

Digital DNA를 이용한 알려지지 않은 최신

악성코드 탐지

암호, 암호화 키, 검색 기록 및 기타 포렌식 데이터 등

디지털 요소 재가공

감염 방법, 파일, 엑세스 된 레지스트리 키, 네트워크 행위와

기타 다양한 사항에 대해 정확하고 신속한 위협 요소 탐지

Responder Pro 제품 장점 (계속)


악성코드 행위 추적을 위한

상세 분석 기능 제공



포렌식 측면에서의 안전한 메모리 분석 조사 수행 -> 자세하고 디테일 한 결과 출력

실행 중인 프로세스 목록 파일 관련 이벤트 레지스트리 관련 이벤트 네트워크 연결 관련 분석 Listening 포트 탐지 루트킷 탐지(SSDT 분석) 프로세스 별 위험도 분석

암호화 되지 않은 데이터 Clear text로 표시된 암호

및 문서 데이터 이메일 및 메신저 대화

Keystroke logger Rooktit Trojan Botnet Ransomware Banking Trojan Polymorphic code



기존 보안 솔루션들의 악성코드 탐지 방식에서 벗어나

모듈의 행위를 통해 악성코드를 판별하는

MCSI 특허 기술

⇒ 제로데이, 루트킷, 다른 형태의 위협을 탐지하기 위한

자동화 리버스 엔지니어링 및 물리적 메모리 분석 가능

⇒ 사전 위협 탐지, 진단, 대응

⇒ 안티 바이러스들이 탐지하지 못하는 Unknown Malware 및

APT 형 악성코드를 행위기반(Digital DNA) 으로 탐지

DIGITAL DNA 란?

제품 주요 기능 (1) – Digital DNA


MCSI의 악성코드 게놈 데이터베이스와 일치하는지 확인 → Good, Bad, Warning 으로 분류하여 위험등급 적용

DIGITAL DNA

제품 주요 기능 (1) – Digital DNA(계속)

시그니처 IOCS

휴리스틱에 의존

메모리 내의 모든 실행 코드에 대한

자동 리버싱 분석 수행


제품 주요 기능 (2) – 악성 행위 표시

악성코드 감염 경로, 파일, 액세스한 레지스트리 키 정보,

네트워크 행위 등에 대한 행위적인 인텔리전스를 제공

위험 평가를 한눈에 볼 수 있는

Digital DNA의 직관적인 인터페이스

MCSI 멀웨어 게놈 DB 와 비교를 통하여

프로세스의 위험수치 부과,

위험도가 높은 순서로 정보 제공


제품 주요 기능 (2) – 악성 행위 표시(계속)

악성코드 키로깅 행위 탐지 키로깅(Keylogging) : 사용자가 키보드나 마우스로 입력하는 값을

몰래 탈취하는 행위

악성코드 패킹 탐지 패킹(Packing) : 악성코드가 자신의 코드를 분석하기 못하게

하기 위해 적용하는 보호 기법


파밍 악성코드 호스트 파일 변조 행위 탐지 파밍(Farming) : 호스트 파일을 변조하여 사용자를

피싱 사이트로 유도하는 기법

코드 인젝션 행위 탐지 인젝션(Injection) : 타 프로세스에 코드나 DLL 등 을 강제로

주입하고 실행하여 공격자가 원하는 동작을 하게 만드는 기법

제품 주요 기능 (2) – 악성 행위 표시(계속)


제품 주요 기능 (3) – REcon Sandbox

타임라인 기반 행위

분석

특정 시간대의 악성 행위 유무를

그래프를 통해 파악 가능


제품 주요 기능 (3) – REcon Sandbox(계속)

Copyright INSEC Co.,Ldt. All Rights Reserved. 6/12

Malware 동적 분석 기능

물리적 메모리 분석 기능 원격 메모리 덤프 기능

Static Binary 분석 기능

제품 주요 기능 (4) – 다양한 메모리 분석 기능


원격 덤프 기능 선택

원격 분석 기능인 Remote Memory Snapshot 를 통하여

원격 메모리 덤프 후 메모리 분석 가능

제품 주요 기능 (4) – 다양한 메모리 분석 기능(계속)


원격덤프 시 사용하는 포트 허용 설정

TCP 445 를 사용하므로, 방화벽에서 포트 허용을 해주고

방화벽을 OFF 하는 설정



연결 테스트 (성공 시 Successfully 메시지 출력 )

원격 덤프를 진행 할 대상 정보 입력

대상의 IP 와 관리자 계정 정보를 입력하여 원격으로

메모리 덤프 및 분석 기능 제공



Digital DNA 위험도 분석 각종 악성코드 탐지 및 분석 결과 상세 리포팅

자동화 리버스 엔지니어링 Digital DNA를 통한 위험 모듈 핵심 행위 분석



위험 등급 / 수치 부여

각 파일 또는 모듈의 행동을 파악하여

위험 등급과 수치를 부과하여 높은 순서대로 보여준다.

위험 등급 / 수치 부여

각 파일 또는 모듈의 행동을 파악하여

위험 등급과 수치를 부과하여 높은 순서대로 표시



고 위험 프로세스 표시

Digital DNA 로 위험지수를 매겨, 가장 높은 위험지수를

가진 프로세스를 사용자에게 표시

의심스러운 모듈 또는 프로세스 표시

분석된 모듈 또는 프로세스 중에서

악성코드로 의심이 되는 프로세스의 정보를 제공



자동화 리버스 엔지니어링 기능

분석된 모듈 또는 프로세스의 바이너리 코드를 표현하며,

디스어셈블 기능을 제공하며 메모리 상의 코드를

디스어셈블 하고 바이너리 코드를 표현하기에

기법이 적용되지 않은 코드 또한 존재



Digital DNA 를 통한 위험 모듈 핵심 행위 분석

퍼즐의 색깔이 붉은색이 가까울 수록

위험한 행위로 판별



시스템 드라이버 정보 분석

Network 세션 및 오픈 포트 정보 분석

레지스트리 정보 분석

실행 프로세스 및 오픈 파일 정보 분석



프로세스 별 네트워크 사용 정보 제공

어떤 프로세스와 어디와 통신을 맺고 있는지

All open Network Sockets 에서 정보 제공

네트워크 통신을 하는 Src 와 Dst 주소 및

통신의 타입 정보 제공



프로세스 별 레지스트리 사용 내역 제공

사용한 레지스트리 경로, 레지스트리 키 파일 이름 등

정보 제공



시스템 드라이버 파일 정보 제공

시스템 드라이버 파일의 이름을 제공되며, 또한

드라이버 파일의 위험등급, 파일의 은닉 여부 등 제공



프로세스 별 사용한 파일 정보 제공

각 프로세스가 사용한 파일의 이름, 경로 정보를

제공



자동화된 String 분석 제공 Timeline 동적 분석 기능

함수 호출 경로 그래픽 제공

분석 중 발견된 Key 및 Password 제공



프로세스 별 String 문자열 데이터 제공

각 프로세스가 가지고 있는 String 문자열 데이터를

분석하여 제공



프로세스 별 사용한 파일 정보 제공

각 프로세스가 사용한 파일의 이름, 경로 정보를

제공

시간 대 별 행동 유무

그래프 표시 를 통하여

악성코드의 행동 유무를 제공



함수의 호출 흐름 파악 사용자가 지정하여 원하는 함수의 흐름

그래픽 제공



메모리상에 올라간 Key 값 및 P/W 값 제공 메모리 분석을 통해 메모리 내의

저장 된 사용자 아이디 값이나 패스워드 값을 추출하여 표시



공공기관 정부산하기관 일반기업

36

주요 고객사


Thank You!

37

Email: [email protected]

영업대표 : 김종광

Phone : 010-8761-6999

Call : 02-863-5687

공식 홈페이지 : www.insec.co.kr

CONTACT US

mailto:[email protected]

mcsi responder pro · 공격 탐지 및 분석 프로세스가 사용중인 dll, sys 파일 분석...

Documents