울지않는벌새 : Security, Movie & Society

AhnLab Next V3 Beta : 위협 분석 - 프로그램 활동 내역

벌새::Software
● 해당 글은 안랩(AhnLab)에서 진행하는 "AhnLab Next V3 Beta 이벤트" 참여 목적으로 작성된 글임을 밝힙니다.

 

글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진이 추가된 AhnLab Next V3 보안 제품의 화면 구성 중 "위협 분석" 메뉴 중 "프로그램 활동 내역" 기능에 대해 살펴보도록 하겠습니다.

"프로그램 활동 내역" 메뉴는 AhnLab Next V3 보안 제품이 설치된 PC에서 발생하는 다양한 행위(IE BHO 등록, IE 레지스트리 설정, IE 시작페이지 변경, IE 팝업 설정 변경, LSP 설정 변경, PC 파일 이름 변경, PE 파일 다운로드, PE 파일 생성, PE 파일 수정, ZONEMAP 설정 변경, 과도한 트래픽 발생, 네트워크 연결, 드라이버 등록, 모듈 로드, 분석 방해 설정, 압축 파일 다운로드, 자가 복제, 자동 실행 등록, 자신을 삭제, 파일 다운로드, 파일 생성, 프로세스 메모리 쓰기, 프로세스 생성 등)에 대한 로그(Log)를 제공합니다.

 

이를 기반으로 사용자는 특정 시간에 발생한 파일 및 네트워크 행위를 통해 세부적인 분석 및 추적을 할 수 있도록 도와주며, 이는 "파일 분석 보고서""URL 분석 보고서"와 연동되어 있습니다.

 

또한 프로그램 활동 내역 중 네트워크 연결과 관련된 부분 중 의심, 위험, 불필요한 연결 부분은 "네트워크 방역" 메뉴에 추가적으로 표시되며, 안정성이 검증되지 않은 프로그램(파일) 생성은 "클라우드 평판 → 최근 생성된 파일" 메뉴에 분류되어 표시됩니다.

 

1. 날짜로 검색하기

프로그램 활동 내역은 기본적으로 1주일 정보를 표시하고 있으며, 사용자가 특정 날짜를 지정하여 추가적인 로그 정보를 확인할 수 있습니다.(※ 저장된 로그 정보는 프로그램에서 지정한 저장 용량을 초과할 경우 순차적으로 삭제되는 것으로 알고 있습니다.)

 

2. 조건 검색하기

사용자는 프로그램 활동 내역에 기록된 특정 검색 키워드(프로세스, 모듈, 행위, 대상, 추가 대상)를 입력하여 필터링을 통해 조건 검색을 할 수 있습니다.

 

3. 프로그램 활동 내역 분석하기

프로그램 활동 내역에 기록되는 파일명(프로세스, 모듈, 대상, 추가 대상)에는 색깔(검은색, 회색, 파란색, 붉은색)을 통해 안전도(정상, 악성, 미확정)를 빠르게 확인할 수 있습니다.

 

예를 들어 프로그램 활동 내역에 기록된 특정 항목을 선택하여 복사(Ctrl+C)하여 확인해보면, 다음과 같은 식으로 분석을 할 수 있습니다.

2013-02-27 11:07:43,c:\users\(사용자 계정)\appdata\local\sk communications\nateon\addin\d8558182-2209-4dbc-bfdf-500ed12625bf\mailviewer.exe,,PE 파일 다운로드,c:\users\(사용자 계정)\documents\네이트온 받은 파일\payment receipt.zip,

2013년 2월 27일 오전 11시 7분경 네이트온 메일 뷰어 프로그램(mailviewer.exe)을 통해 PE 파일(payment receipt.zip)을 다운로드하였으며, 다운로드된 파일은 악성(붉은색) 파일이었습니다.

또한 "파일 분석 보고서""주요 행위" 기능을 이용하여 사용자가 지정한 파일에 대한 프로그램 활동 내역을 표를 통해서도 확인할 수 있습니다.

 

4. 파일로 저장

프로그램 활동 내역의 우측 하단에 있는 "파일로 저장" 버튼을 클릭할 경우 프로그램 활동 내역에 표시된 내용을 asd_program.csv 파일로 저장을 할 수 있으며, 해당 파일은 Excel 계열 프로그램을 통해 확인할 수 있습니다.

 

5. 활용 예시 : 온라인 게임핵 악성코드 감염

 

예를 들어 사용자가 보안 패치(Adobe Flash Player, Oracle Java 등)가 제대로 이루어지지 않은 환경에서 인터넷 웹 사이트를 방문하던 중 그림과 같이 자동 감염을 통해 시스템 감염이 발생하였다고 가정해 보겠습니다.

이 경우 프로그램 활동 내역에서는 사용자가 해당 웹 사이트 방문으로 인해 이루어지는 각종 파일 생성 등에 대한 기록이 로그(Log)에 기록될 것입니다.

그 중에서 네트워크 연결과 관련된 부분은 "네트워크 방역""의심 사이트 관리" 목록에 자동으로 필터링되어 표시될 수 있으며, 사용자는 복잡한 프로그램 활동 내역에서 추출된 목록을 통해 사용자 몰래 다운로드된 부분을 확인할 수 있습니다.

감염을 통해 생성(변경)된 파일에 대한 정보 역시 프로그램 활동 내역에서 자동 필터링되어 "클라우드 평판""최근 생성된 파일" 목록에 표시되는 것을 확인할 수 있습니다.

 

이들 정보를 바탕으로 사용자는 날짜 정보를 통해 최초 감염 시작점의 파일(pang[1].exe)을 생성한 드로퍼(Dropper) cscript.exe 파일을 클릭하여 "파일 분석 보고서""주요 행위" 정보를 통해 다음과 같이 감염 과정을 분석할 수 있습니다.(※ 각 파일명을 클릭하면 해당 파일에 대한 분석 보고서로 연결됩니다.)

  • 사용자가 웹 사이트 접속을 통해 Java 취약점을 통해 pang.exe(= gondad.exe) 파일을 자동으로 다운로드

  • 생성된 gondad.exe 파일은 0026780.tmp 파일을 생성

  • 생성된 0026780.tmp 파일은 "분석 방해 설정" 행위 수행 및 usp10.dll 파일 생성 : 폴더 옵션 변경을 통해 숨김(H) 속성 파일을 볼 수 없도록 레지스트리 값 수정 등
  • 또한 특정 서버로부터 sos.exe 파일 다운로드 및 ab49.temp 생성 후 자가 삭제

  • 생성된 ab49.temp 파일은 Hosts 파일 수정 및 tuxywz569.exe 파일 생성

  • 생성된 tuxywz569.exe 파일은 ws2helpxp.dll 파일 생성 및 ws2help.dll 파일명을 ws2help.dll.cvs.tmp 파일로 이름 변경
  • 또한 irimgv3.bmp 파일을 생성하여 파일명을 ws2help.dll 파일로 이름 변경

위와 같은 감염 과정을 통해 정상적인 ws2help.dll 파일은 악성 파일로 변경되며, 변경된 악성 파일은 특정 온라인 게임 정보를 수집하여 외부로 유출하게 됩니다.

 

사용자는 이러한 감염 과정을 프로그램 활동 내역에 기록된 로그(Log) 정보를 통해 시간 순으로 분석을 통해 감염의 원인(java.exe / cscript.exe)을 제공한 프로그램이 Oracle Java 취약점을 이용한 스크립트임을 알 수 있으며, 사용자 몰래 설치된 악성 파일을 AhnLab Next V3 보안 제품이 진단하지 못하더라도 추적이 가능합니다.

 

단지 이러한 분석은 고급 사용자에게 유용할 수 있지만, 생성된 로그 기록을 파일로 저장하여 보안 업체에 문의하는 방법으로 시스템의 문제 등을 차후 해결할 수도 있으리라 판단됩니다.

 

다음 시간에는 "위협 분석" 메뉴 중 "클라우드 자동 분석" 기능에 대해 자세하게 살펴보도록 하겠습니다.