반응형
안철수연구소(AhnLab)에서 베타 테스트 중인 AhnLab Smart Defense Beta 제품의 진단과 치료 능력에 대한 부분에 대해 살펴보도록 하겠습니다.
악성코드가 다양하기에 관찰된 부분에 대해서만 언급할 수 있는 점을 고려하여 주시기 바랍니다.
1. RamDisk 영역 치료 개선
이전에 제가 사용하던 V3 365 클리닉 버전에서는 악성코드가 인터넷 임시폴더 영역을 RamDisk로 할당하여 사용할 경우 그 부분에 대해 진단은 하지만 치료를 못하는 현상을 겪었습니다.
하지만 Smart Defense 제품에서는 RamDisk(Z 디스크) 영역에서 진단되는 악성코드를 치료를 시도하면 위와 같이 정상적으로 삭제 처리가 되는 것을 확인할 수 있었습니다.
2. 진단명의 차이
해당 제품이 실제 악성코드를 발견하였을 경우 진단되는 진단명을 보시면, 현재 안철수연구소에서 발표하는 정식 진단명 패턴과 다르다는 것을 확인할 수 있습니다.
일반적으로 안철수연구소의 진단명 패턴은 트로이목마의 경우 [Win-Trojan/악성코드명.숫자.변종]의 형태를 취하고 있는데, Smart Defense 제품에서는 위의 경우를 보시면 다음과 같이 단순화된 진단명을 이용하고 있습니다.
실제 위에서 진단한 샘플이 바이러스토탈(VirusTotal)에서 어떻게 진단이 되는지 살펴보았습니다.
위와 같이 실제 제품에서 정식 시그니처(Signature)를 가지고 있지만, Smart Defense에서는 진단명을 통합된 형태로 표기하는 것으로 보입니다.
이 부분에 대해서는 안철수연구소에 문의를 하여 어떤 차이가 존재하는지, 왜 이런 표기상의 차이가 있는지 확인이 필요하지만, 개인적으로는 서버를 통한 빠른 반응을 위해 진단 방식의 차이가 아닐까 생각됩니다.
3. 변종에 강한 진단의 예
그 동안 안철수연구소 보안제품의 가장 큰 문제점은 변종에 너무 약한 모습을 통해 현실적으로 해외 유명 보안제품과 비교시 이름값을 못하였다는 점입니다.
예를 들어 Smart Defense 제품에서 Droper/Win32.Agent라는 진단명으로 실시간으로 악성코드를 차단하였습니다.
해당 샘플에 대한 바이러스토탈의 진단을 살펴보시면 현재 시간 AhnLab V3 제품에서는 정식으로 진단하고 있지 않는다는 것을 확인할 수 있습니다. 또한 해외 보안제품을 보시더라도 다수의 제품에서 정식 진단명이 아닌 감염 의심 파일로 진단하고 있는 것을 확인할 수 있습니다.
위와 같이 현재 기술로는 진단할 수 없는 변종에 대해서는 분명히 일종한 성과를 거둘 수 있는 가능성을 볼 수 있습니다.
이번 진단명 역시 위에서 살펴본 것처럼 정식 진단명이 아닌 통합적인 진단명을 사용하고 있습니다. 단지 아쉽다면 이런 진단을 통해 차단이 되는 경우 나중에 업체에서 DB를 정식으로 추가를 할지 여부는 고민을 해 보아야 할 것 같습니다.
악성코드가 다양하기에 관찰된 부분에 대해서만 언급할 수 있는 점을 고려하여 주시기 바랍니다.
1. RamDisk 영역 치료 개선
하지만 Smart Defense 제품에서는 RamDisk(Z 디스크) 영역에서 진단되는 악성코드를 치료를 시도하면 위와 같이 정상적으로 삭제 처리가 되는 것을 확인할 수 있었습니다.
2. 진단명의 차이
해당 제품이 실제 악성코드를 발견하였을 경우 진단되는 진단명을 보시면, 현재 안철수연구소에서 발표하는 정식 진단명 패턴과 다르다는 것을 확인할 수 있습니다.
일반적으로 안철수연구소의 진단명 패턴은 트로이목마의 경우 [Win-Trojan/악성코드명.숫자.변종]의 형태를 취하고 있는데, Smart Defense 제품에서는 위의 경우를 보시면 다음과 같이 단순화된 진단명을 이용하고 있습니다.
[Smart Defense 제품 진단명 예]
Trojan/Win32.LdPinch
Downloader/Win32.FraudLoad
Trojan/Win32.LdPinch
Downloader/Win32.FraudLoad
실제 위에서 진단한 샘플이 바이러스토탈(VirusTotal)에서 어떻게 진단이 되는지 살펴보았습니다.
MD5 : aefedda6598846e93774562e7df5a51f
(AhnLab V3 정식 진단명) Win-Trojan/Fraudload.109571.D
(Smart Defense 진단명) Downloader/Win32.FraudLoad
(Smart Defense 진단명) Downloader/Win32.FraudLoad
위와 같이 실제 제품에서 정식 시그니처(Signature)를 가지고 있지만, Smart Defense에서는 진단명을 통합된 형태로 표기하는 것으로 보입니다.
이 부분에 대해서는 안철수연구소에 문의를 하여 어떤 차이가 존재하는지, 왜 이런 표기상의 차이가 있는지 확인이 필요하지만, 개인적으로는 서버를 통한 빠른 반응을 위해 진단 방식의 차이가 아닐까 생각됩니다.
3. 변종에 강한 진단의 예
예를 들어 Smart Defense 제품에서 Droper/Win32.Agent라는 진단명으로 실시간으로 악성코드를 차단하였습니다.
MD5 : 775798091d88fb3c78eae2743795393d
해당 샘플에 대한 바이러스토탈의 진단을 살펴보시면 현재 시간 AhnLab V3 제품에서는 정식으로 진단하고 있지 않는다는 것을 확인할 수 있습니다. 또한 해외 보안제품을 보시더라도 다수의 제품에서 정식 진단명이 아닌 감염 의심 파일로 진단하고 있는 것을 확인할 수 있습니다.
위와 같이 현재 기술로는 진단할 수 없는 변종에 대해서는 분명히 일종한 성과를 거둘 수 있는 가능성을 볼 수 있습니다.
이번 진단명 역시 위에서 살펴본 것처럼 정식 진단명이 아닌 통합적인 진단명을 사용하고 있습니다. 단지 아쉽다면 이런 진단을 통해 차단이 되는 경우 나중에 업체에서 DB를 정식으로 추가를 할지 여부는 고민을 해 보아야 할 것 같습니다.
728x90
반응형