Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판

백신 프로그램 원리

  • Inicia sesión para ver los comentarios

백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판

  1. 1. 백신 프로그램의 원리와 동작 2015.11.17 (V1.0) 안랩 시큐리티대응센터(ASEC) 분석팀 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
  2. 2. © AhnLab, Inc. All rights reserved. 2 알림 • 본 발표 자료는 개인 의견으로 안랩의 공식 입장과 다를 수 있습니다. •덕질 자료가 포함되어 있을 수 있습니다.
  3. 3. © AhnLab, Inc. All rights reserved. 3 :~$whoami Profile − 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) − 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작 − 1989년 : Brain virus 변형 감염 − 1997년 : AhnLab 입사 − AhnLab 책임 연구원 (Senior Antivirus Researcher) − 시큐리티 대응센터(ASEC) 분석팀에서 악성코드 분석 및 연구 중 - 민간합동 조사단, 사이버보안 전문단 - AVED, AMTSO, vforum 멤버 - Wildlist Reporter
  4. 4. Contents 01 02 03 04 05 06 07 Antivirus 백신 프로그램 구성과 한계 대응 과정 악성코드 진단법 악성코드의 역습 백신 프로그램의 진화 맺음말
  5. 5. © AhnLab, Inc. All rights reserved. 5 보안의 현실 • 완벽한 보안은 존재하지 않음 - * Source:WarGames(1983)
  6. 6. 01 Antivirus
  7. 7. © AhnLab, Inc. All rights reserved. 7 AntiVirus 시도 행위 − 수상한 행위 경고 − 사용자 판단 필요 무결성 검사 − 알려지지 않은 바이러스 진단 − 업데이트 등으로 정상 파일 변경 가능 − 알려진 바이러스만 진단 − 비교적 간단한 사용법 − 오진 가능성 낮음
  8. 8. © AhnLab, Inc. All rights reserved. 8 백신 프로그램 • 백신 프로그램 - Antivirus,Antimalware등으로불림 * Source:http://en.wikipedia.org/wiki/Antivirus_software
  9. 9. © AhnLab, Inc. All rights reserved. 9 백신 프로그램 등장 • 발전 - Vaccine->VaccineII->V2Plus->V3
  10. 10. © AhnLab, Inc. All rights reserved. 10 백신 프로그램 등장 • 발전 - Vaccine->VaccineII->V2Plus->V3
  11. 11. © AhnLab, Inc. All rights reserved. 11 백신 프로그램 등장 • 현재 백신 프로그램 -
  12. 12. © AhnLab, Inc. All rights reserved. 12 결국 백신 프로그램 승 ! 진단/치료 개념 다른 프로그램은 대체로 예방 개념 일정 수준 예방 일부 악성코드만 일반에 널리 퍼짐 낮은 오진 Signature 기반으로 낮은 오진 간편한 사용 특별한 지식 없이도 사용 가능 백신 프로그 램 선택 이유
  13. 13. 02 백신 프로그램의 구성과 한계
  14. 14. © AhnLab, Inc. All rights reserved. 14 백신 프로그램 구성 수동 검사 파일과 레지스트리 등에서 검사 실시간 검사 파일 복사, 실행 때 검사 행위 검사 실행 되는 프로그램 행위 검사 방화벽 외부 접속 시도 검사 백신 프로그램 구성
  15. 15. © AhnLab, Inc. All rights reserved. 15 백신 프로그램 한계 알려진 악성코드 위주로 진단 샘플이 확보되어야 진단 가능 신종 악성코드 제한적 진단/예방 제한적 신종 진단 공격자도 테스트 가능 공격자가 절대적으로 유리 오진 우려 진단율과 오진율/성능의 저울질 백신 프로그램 한계
  16. 16. 03 대응 과정
  17. 17. © AhnLab, Inc. All rights reserved. 대응 과정 • 문의 사항 확인 (중복, 이슈 등) • 정상 유무 검사 • 대내외 커뮤니케이션 샘플 접수 • 종류 파악 • 기 분석 내용 파악 • 악성코드 유무 확인 • 상세 분석 필요 유무 결정 분석 • 엔진 QA • 엔진 & 시그니처 배포 엔진 & 시그니처QA및 배포 • 적절한 진단법 찾아 시그니처 추가 • 시그니처 대응 되지 않을 때 진단법 개발 • 인식할 수 없는 파일 포맷의 경우 파일 포맷 인식 개발 시그니처 반영 및 엔진 코드 개발 대응 과정
  18. 18. © AhnLab, Inc. All rights reserved. 18 Analysis MS- DOS ABAP AutoCA D (LSP) Windows BAT BeOS EPOC Boot (Win) Symbi an Android Java OS X Linux Unix MSIL Palm OS /2 Perl Python MS Office Boot Flash Corel Script PHP IRC Shell script pdf BSDSolaris Java Script iOS HWP AmiPr o Visual Basic Plugin Hardware (firmware, UEFI …) Power Shell NDS Data Mac 8 Bit Boot ASP Open Office
  19. 19. © AhnLab, Inc. All rights reserved. 19 Portable Executable • PE (PortableExecute) - Windows실행파일 -가장많은악성코드파일종류
  20. 20. © AhnLab, Inc. All rights reserved. 20 Portable Executable • MSIL(Microsoft IntermediateLanguage) - 신종악성코드의일정부분차지 -Obfuscation도발생중
  21. 21. © AhnLab, Inc. All rights reserved. 21 Portable Executable • VisualBasic - OldSchool -최근Packer등장
  22. 22. © AhnLab, Inc. All rights reserved. 22 Portable Executable • Cygwin - LinuxToolsporting
  23. 23. © AhnLab, Inc. All rights reserved. 23 Portable Executable • CPL(ControlPanel) - 주로SouthAmerica악성코드에서발견
  24. 24. © AhnLab, Inc. All rights reserved. 24 Linux • ELF -
  25. 25. © AhnLab, Inc. All rights reserved. 25 OS X • Fat Binary - 0xCAFEBABE • 파워 PC - 0xFEEDFACE • 인텔 -32비트:0xCEFAEDFE -64비트:0xCFFAEDFE
  26. 26. © AhnLab, Inc. All rights reserved. 26 Java • Java -
  27. 27. © AhnLab, Inc. All rights reserved. 27 Macro • MS Office - WordBasic,VBA(VisualBasicApplication)
  28. 28. © AhnLab, Inc. All rights reserved. 28 Macro OpenOffice 악성코드 • OpenOffice -http://www.openoffice.org에서 오픈 소스 프로젝트로 진행되는 오피스 프로그램 -Windows,Linux,OSX등지원 • Badbunny - 2007년5월22일발견 *OpenOfficeMacro를이용한악성코드(버그로제대로실행되지않음)
  29. 29. © AhnLab, Inc. All rights reserved. 29 Script OS 의존 − Batch − Java Script − Visual Basic Script − Shell Script − AppleScript − mIRC Script 등 icon icon OS 독립 − PHP − Perl − Python 등
  30. 30. © AhnLab, Inc. All rights reserved. 30 Script • Batch - 파일삭제 - 다른악성코드생성
  31. 31. © AhnLab, Inc. All rights reserved. 31 Script • mIRC • Pirch
  32. 32. © AhnLab, Inc. All rights reserved. 32 Script • JavaScript -
  33. 33. © AhnLab, Inc. All rights reserved. 33 Script • JavaScript -Obfuscation
  34. 34. © AhnLab, Inc. All rights reserved. 34 Script • VisualBasicScript -
  35. 35. © AhnLab, Inc. All rights reserved. 35 Script • VisualBasicScript - Obfuscation
  36. 36. © AhnLab, Inc. All rights reserved. 36 Script • Shell -http://rixstep.com/1/20060311,00.shtml
  37. 37. © AhnLab, Inc. All rights reserved. 37 Script • PHP -
  38. 38. © AhnLab, Inc. All rights reserved. 38 Script • Perl -
  39. 39. © AhnLab, Inc. All rights reserved. 39 Script • Python -
  40. 40. © AhnLab, Inc. All rights reserved. 40 Script • LISP -
  41. 41. 04 악성코드 진단법
  42. 42. © AhnLab, Inc. All rights reserved. 42 월리를 찾아라 • Wally • Source:google
  43. 43. © AhnLab, Inc. All rights reserved. 43 월리를 찾아라 • Where’sWally? • Source:http://www.thedrum.com/news/2012/10/23/where-s-wally-celebrating-his-25th-anniversary-wembley-stadium-campaign
  44. 44. © AhnLab, Inc. All rights reserved. 진단법 기본 진단법 String Wildcards Hash
  45. 45. © AhnLab, Inc. All rights reserved. 진단법 확장 진단법 Generic Detection Heuristic Detection 파일 외형 (Icon, Version.인 증서 등)
  46. 46. © AhnLab, Inc. All rights reserved. 진단법 추가 진단법 Cloud 행위 평판
  47. 47. © AhnLab, Inc. All rights reserved. 47 진단법 • Gundam 을 구분하시오 *source:http://kr.gundam.info/archives/index.html
  48. 48. © AhnLab, Inc. All rights reserved. 48 진단법 • 포괄 진단 (Generic Detection) -모양이조금씩달라도모두Zaku!!! *source:http://potter40.egloos.com
  49. 49. © AhnLab, Inc. All rights reserved. 49 진단법 • 휴리스틱 (Heuristic) -경험적진단.예…Gundamvs엘가임 *source:google
  50. 50. © AhnLab, Inc. All rights reserved. 50 오진 • 오진 ! * Source:http://blog.myesr.org/experts-share-strategies-to-help-radiologists-justify-their-imaging-decisions/
  51. 51. © AhnLab, Inc. All rights reserved. 51 오진 • 오진 종류 icon 분석 문제 − 악성코드로 잘못 분석 − 악성코드와 유사 프로그램 − 악성코드에서 이용하는 프로그램 잘못된 진단값 의심스러움 진단 − 컴파일러 공통 영역 − 앞부분이 동일한 파일 − 바이러스 감염이나 변조 형태 − 엄밀한 오진은 아님
  52. 52. © AhnLab, Inc. All rights reserved. 52 오진 • Installer, sfx, autoit, Bat2exe… MZ header Program data MZ header Program data
  53. 53. © AhnLab, Inc. All rights reserved. 53 오진 • winrar/7zipsfx/Anno Setup - Analyst는오진한번쯤낼뻔한파일형태
  54. 54. © AhnLab, Inc. All rights reserved. 54 끊없는… • 진단율 vs 오진율 - 끊없는고민 * source:google
  55. 55. 05 악성코드의 역습
  56. 56. © AhnLab, Inc. All rights reserved. 악성코드 기법 진단회피 기술 Encryption Anti-AntiVirus Polymorphic / Metamorphic Stealth/ Rootkit
  57. 57. © AhnLab, Inc. All rights reserved. 57 Oh my god ! • 쏟아지는 악성코드 - 2005년부터신종악성코드급증.2007년부터기하학적으로증가 -현재하루평균수십만개신종악성코드발견 *source:http://www.av-test.org/en/statistics/malware/
  58. 58. © AhnLab, Inc. All rights reserved. 58 변화 다수가 변형 양산 다양한 악성코드 제작자들 계속 증가하는 악성코드 수 다양한 Packer로 기존 진단 무력화 시도 Trojan horse 증상 파악이 용의한 worm, virus 대신 Trojan horse 지역화 특정 지역에 맞게 제작 표적화 소수의 표적공격으로 발견이 어려움 악성코드 현황
  59. 59. 06 백신 프로그램의 진화
  60. 60. © AhnLab, Inc. All rights reserved. 60 Antivirus is dead ?! • Symantec BrianDye seniorvicepresident인터뷰 - Antivirusisdead *source:http://online.wsj.com/news/articles/SB10001424052702303417104579542140235850578 *source:http://www.symantec.com/about/news/release/article.jsp?prid=20140505_01
  61. 61. © AhnLab, Inc. All rights reserved. 61 Antivirus is dead ?! • 반론 - 단순시그니처기반제품이아닌다양한기능탑재로진화중 *source:http://support.pandasecurity.com/blog/panda-security/antivirus-dead-long-live-antivirus/ *Source:http://blogs.avg.com/product/antivirus-dead/
  62. 62. © AhnLab, Inc. All rights reserved. 62 Antivirus is dead ?! • 반론 - * Source:http://www.eset.com/us/resources/detail/av-is-not-dead/
  63. 63. © AhnLab, Inc. All rights reserved. 63 발전하는 백신 프로그램 시그니처 진단 문자열 wildcard crc 특성화 등 Generic/Heuristic 진단 유사 변형 진단 완전히 새로운 형태 진단 제한적 진단율 높을 수록 오진 가능성 상승 행위 기반 완전한 새로운 형태 진단 못함 유사 정상 프로그램과 구분 어려움 비교적 높은 오진 가능성 Cloud/평판 개발자 PC에는 적합하지 않음 정상 프로그램 내에 포함 한다면 ?! 사용자가 적다고 악성은 아님 악성코드 판단
  64. 64. © AhnLab, Inc. All rights reserved. 64 잘 만든 signature/rule 하나 • 1개로 수많은 변형 진단 - 유사한형태를진단해제작자들도그냥진단된상태로배포
  65. 65. © AhnLab, Inc. All rights reserved. 65 시도 • MachineLearning - 빅데이터를유용한정보로바꿔주는개념의기술 * Source:http://www.darkreading.com/vulnerabilities---threats/researchers-enlist-machine-learning-in-malware-detection/d/d-id/1321423& http://www.boannews.com/media/view.asp?idx=47206
  66. 66. © AhnLab, Inc. All rights reserved. 66 시도 • MachineLearning - 한계도명확 * Source:http://www.boannews.com/media/view.asp?idx=48521&kind&sub_kind
  67. 67. © AhnLab, Inc. All rights reserved. 67 현재 마땅한 대안 없음 • 지나친 경고 혹은 오탐 - 행위기반등도결국시그니처기반 -시그니처기반+예방기능필요 *source:http://www.itworld.co.kr/t/36/보안/87539
  68. 68. 07 맺음말
  69. 69. © AhnLab, Inc. All rights reserved. 69 백신은 보안을 위한 한가지 • 단계적 대응 - 공격자를대비하기위해서는단계적방어체계구성필요
  70. 70. © AhnLab, Inc. All rights reserved. 70 모두가 함께 해야 하는 보안 개인 보안 관심 및 습관 신고 기업/기관 보안 체계 보안 투자 정보 공유 보안 업체 대응 기술 개발 정보 공유 정부 인력 양성 정보 공유 법 집행 외국과 협력 보안
  71. 71. © AhnLab, Inc. All rights reserved. 71 협력의 어려움 • 드라마 속 수사기관 협력 문제 (1) - 위조지폐가발견됨 *source:CSIMiamiSeason5x03deathpool중
  72. 72. © AhnLab, Inc. All rights reserved. 72 협력의 어려움 • 드라마 속 수사기관 협력 문제 (1) - 서로같은사안을조사하고있음 *source:CSIMiamiSeason5x03deathpool중
  73. 73. © AhnLab, Inc. All rights reserved. 73 협력의 어려움 • 드라마 속 수사기관 협력 문제 (1) - 원하는바가다름 *source:CSIMiamiSeason5x03deathpool중
  74. 74. © AhnLab, Inc. All rights reserved. 74 협력의 어려움 • 드라마 속 수사기관 협력 문제 (1) - 문제점 *source:CSIMiamiSeason5x03deathpool중
  75. 75. © AhnLab, Inc. All rights reserved. 75 협력의 어려움 • 드라마 속 수사기관 협력 문제 (2) - 대상이다름 *source:CSIMiamiSeason5x09going,going,gone중
  76. 76. © AhnLab, Inc. All rights reserved. 76 협력의 어려움 • 드라마 속 수사기관 협력 문제 (2) - 기밀 *source:CSIMiamiSeason5x09going,going,gone중
  77. 77. © AhnLab, Inc. All rights reserved. 77 Wrap up • 정리 -백신프로그램은악성코드의진단/치료위주의사후처리프로그램 -백신프로그램의한계는분명히존재 -백신프로그램은악성코드에대한단계적대처방법중하나 -따라서평소악성코드예방을위한습관이중요
  78. 78. © AhnLab, Inc. All rights reserved. 78 모두가 함께 해야 하는 보안 • 현재의 보안 문제 * source:http://www.security-marathon.be/?p=1786
  79. 79. © AhnLab, Inc. All rights reserved. 79 Q&A email : minseok.cha@ahnlab.com / mstoned7@gmail.com http://xcoolcat7.tistory.com https://twitter.com/xcoolcat7, https://twitter.com/mstoned7
  80. 80. D E S I G N Y O U R S E C U R I T Y

×