글로벌 보안 업체 (주)안랩(AhnLab)에서 오픈 베타 방식으로 진행 중인 AhnLab Next V3 보안 제품은 다양한 보안 위협으로부터 시스템을 보호하기 위해 입체적인 방어를 하는 MDP(Multi-Dimensional Protection) 기술을 적용하였습니다.
그 중에서 "클라우드 평판" 기술은 사용자 몰래 설치되는 파일을 사전에 차단하여 클라우드 평판 정보를 바탕으로 사용자에게 실행 여부를 묻도록 하고 있습니다.
▷ AhnLab Next V3 Beta : 클라우드 평판 - 동작 중인 프로세스 (2013.2.23)
▷ AhnLab Next V3 Beta : 클라우드 평판 - 최근 생성된 파일 (2013.2.24)
특히 AhnLab Next V3 보안 제품이 실행되는 파일을 진단하지 못하고 있는 경우에는 클라우드 평판은 마지막 방어선이라고 할 수 있으며, 사용자는 제공되는 평판 정보(파일 분석 보고서)를 바탕으로 신중하게 허용 여부를 결정해야 합니다.
이번 글에서는 스팸 메일을 통해 전파가 이루어지고 있는 것으로 추정되는 유포 사례를 통해 AhnLab Next V3 보안 제품에서 진단되지 않는 악성 파일을 "클라우드 평판" 기능을 통해 어떻게 차단하고 대응하는지에 대해 살펴보도록 하겠습니다.
이번 유포 샘플은 불특정 다수에게 스팸 메일을 통한 첨부 파일 또는 메일 내용의 링크를 통한 압축 파일을 다운로드하도록 제작된 것으로 추정됩니다.
다운로드된 첨부 파일(Postal-Receipt.zip)의 압축을 해제하면 MS Word 문서 모양을 한 Postal-Receipt.exe 파일을 확인할 수 있으며, Windows 기본값 환경에서는 그림과 같이 문서 파일로 오해를 할 수 있습니다.
- Postal-Receipt.exe (MD5 : ac0e4d41ea76bb027bbe5b5f57263698) - Kaspersky : Trojan-Downloader.Win32.Kuluoz.pir (VirusTotal : 20/46)
해당 파일을 실행하면 Postal-Receipt.exe 파일은 "C:\Users\(사용자 계정)\AppData\Local\tjjihmoo.exe" 파일(※ 해당 생성 파일은 "랜덤(Random).exe" 형태입니다.)로 복제 및 자가 삭제되며, 사용자에게는 Postal-Receipt.exe 파일이 Postal-Receipt.txt 문서 파일로 변환되어 정상적인 문서 파일인 것처럼 보여줍니다.
이를 통해 사용자는 메모장을 통해 Postal-Receipt 파일 내용만 자동으로 출력되어 몰래 생성된 파일의 존재를 확인할 수 없습니다.
몰래 생성된 tjjihmoo.exe 파일은 특정 서버에 접속하여 추가적인 다운로드 및 자동 실행을 하는데, 이 과정에서 AhnLab Next V3 보안 제품에서는 다음과 같은 "클라우드 평판 알림" 창을 생성하여 자동 실행되는 부분을 알 수 있게 됩니다.
- 385e3bd1948e2fd456ea2372791c3742.exe (MD5 : 584b648a6f0df0ce7ea271ddcaacbb4b) - Fortinet : W32/FakeAV.KLA!tr (VirusTotal : 4/46)
만약 AhnLab Next V3 보안 제품이 아닌 경우에는 추가적인 보안 기능이 존재하지 않을 경우 해당 파일을 진단하지 못하는 관계로 자동 실행이 이루어질 가능성이 매우 높습니다.
사용자 몰래 다운로드된 파일의 "파일 평판 정보" 또는 "파일 경로"를 클릭하여 제공되는 "파일 분석 보고서" 내용을 통해 실행되려는 파일의 신뢰성 여부를 판단하여 사용자가 차단 여부를 결정할 수 있습니다.
특히 이전 리뷰에서도 언급한 적이 있지만 "클라우드 평판 알림" 창이 생성되었을 경우 사용자가 파일의 허용 여부를 결정하기 어려운 경우에는, 우선적으로 우측 상단의 "닫기(X)" 버튼을 클릭하여 1차적으로 파일 실행을 중지할 수 있습니다.
해당 과정까지의 실제 모습을 동영상을 통해 감상해 보시기 바랍니다.(※ 동영상 품질을 720 HD에 맞추시고 감상하시면 깨끗한 화면을 볼 수 있습니다.)
이제 "클라우드 평판" 기능을 통해 차단된 악성 파일을 AhnLab Next V3 보안 제품에서 진단하지 않지만 제품에서 제공되는 기능을 통해 처리하는 방법과 해당 기능이 존재하지 않는 경우 발생할 수 있는 문제에 대해 살펴보도록 하겠습니다.
1. 클라우드 평판 기능이 존재하지 않은 경우
- C:\Users\(사용자 계정)\AppData\Local\hufsdqmm.exe (MD5 : 584b648a6f0df0ce7ea271ddcaacbb4b) - Fortinet : W32/FakeAV.KLA!tr (VirusTotal : 4/46) :: 해당 파일은 "램덤(Random).exe" 형태입니다.
클라우드 평판 기능이 존재하지 않으며 다운로드되어 자동 실행된 파일을 진단하지 못한 경우에는 악성 파일(hufsdqmm.exe)을 생성한 후, 시스템 재부팅 과정에서 동작하여 해외에서 제작된 "Disk Antivirus Professional" 가짜 백신(FakeAV)를 실행시킵니다.
실행된 Disk Antivirus Professional 가짜 백신은 허위 진단을 통해 유료 결제를 유도하며, 시스템 속도 저하, 정상적인 소프트웨어 실행 방해 등 악의적인 행위를 할 수 있습니다.
2. 클라우드 평판 기능이 존재하는 경우
1차적으로 "클라우드 평판 알림" 창을 통해 다운로드된 385e3bd1948e2fd456ea2372791c3742.exe 파일의 실행을 중지하면 "C:\Users\(사용자 계정)\AppData\Local\hufsdqmm.exe" 파일은 생성되어도 실행은 되지 않습니다.
"클라우드 평판 → 최근 생성된 파일" 기능에서는 시스템에 생성된 파일 중 평판 필터링(최초 발견, 사용자 수, 의심 행위) 조건에 부합되는 경우에는 목록에 표시된다고 소개를 하였습니다.
최근 생성된 파일 목록을 보면 실제로 사용자가 다운로드한 압축 파일로 인해 생성된 2개의 악성 파일이 정확하게 표시되어 있는 것을 확인할 수 있으며, 사용자 수, 최초 발견, 사용자 평판 및 각 파일의 "파일 분석 보고서" 정보를 종합하여 악성 파일임을 짐작할 수 있습니다.
이를 통해 각 파일을 체크하여 "차단" 버튼을 클릭하면 파일 이름에는 회색(미확정, Unknown)에서 붉은색(악성) 아이콘으로 변경되는 것을 확인할 수 있습니다.
차단된 파일들은 시스템 실시간 보호를 통해 User/Gen.Block 진단명으로 삭제 처리가 이루어지거나, 시스템 검사를 통해서도 진단 및 치료가 이루어집니다.
이처럼 "클라우드 평판" 기능은 ① 사용자 몰래 설치되는 파일을 사전에 차단하여 사용자에게 실행 여부를 묻는다는 점 ② AhnLab Next V3 보안 제품에서 진단되지 않는 파일을 사용자의 판단에 따라 진단에 추가하여 User/Gen.Block 진단명으로 진단할 수 있다는 점에서 다른 보안 제품과 비교하여 강점을 가지고 있습니다.
특히 이런 방식은 최근 클라우드(Cloud) 보안 기능을 해외 유명 보안 제품에서 추가하여 평판 기반으로 사용자에게 실행 여부를 묻는 원리는 비슷하지만, AhnLab Next V3 보안 제품은 파일 평판 정보 및 파일 분석 보고서 기능을 통해 사용자가 판단하는데 도움을 주는 다양한 정보를 제공한다는 점에서 우위를 가진다고 볼 수 있습니다.
그러므로 차후 안랩(AhnLab) 보안 제품에 정식으로 추가될 클라우드 평판 기능을 통해 진단을 우회할 목적으로 제작된 다양한 신종 악성 파일을 사전에 차단할 수 있으므로 잘 활용하시기 바랍니다.