울지않는벌새 : Security, Movie & Society

AhnLab Next V3 Beta : MDP 사전 보호의 중요성

벌새::Software

글로벌 보안 업체 (주)안랩(AhnLab)에서 새롭게 선보이고 있는 AhnLab Next V3 보안 제품은 다양한 보안 위협으로부터 시스템을 보호하기 위해 MDP(Multi-Dimensional Protection) 엔진을 추가하여 입체적인 방어를 하도록 되어 있습니다.

 

그 중에서 "MDP 사전 보호" 기능은 시스템 실시간 보호와 함께 동작하면서 엔진(DB) 업데이트를 통한 진단 패턴에서 처리할 수 없는 시스템 감염 동작을 사전에 차단할 수 있는 기술을 보여주고 있습니다.

 

  AhnLab Next V3 Beta : 환경 설정 (2013.1.30)

 

"MDP 사전 보호"에 대한 개념적인 설명은 환경 설정의 "시스템 방역 → 실시간 보호 → 시스템 → MDP 사전 보호"를 통해 설명해 드렸으며, 이번 글에서는 실제적인 MDP 사전 보호를 통해 시스템이 보호되는 예시를 통해 중요성을 강조해 보도록 하겠습니다.

테스트에서 사용되는 샘플은 2013년 3월 5일 새벽경에 수신된 "British Airways E-ticket receipts" 스팸 메일을 통해 첨부된 E-Ticket-N93892PK.htm 파일을 통해 웹 사이트에 접속하도록 유도하는 유포 방식입니다.

 

참고로 해당 첨부 파일(E-Ticket-N93892PK.htm)에 대하여 Avira 보안 제품에서만 HTML/Redirect.FQ (VirusTotal : 1/45) 진단되고 있는 상태입니다.

 

우선 AhnLab Next V3 보안 제품이 "MDP 사전 보호" 기능을 이용하여 해당 첨부 파일을 오픈하였을 경우 어떻게 시스템을 보호하고 있는지 동영상을 통해 살펴보도록 하겠습니다.(※ 깨끗한 화질을 위해서는 720p 화질로 변경을 하시고 감상하시기 바랍니다.)

 

 

우선 사용자가 첨부 파일을 실행하였을 경우 이루어지는 대략적인 감염 과정은 다음과 같습니다.

  1. Internet Explorer 웹 브라우저(iexplore.exe) 실행을 통해 러시아(RU) 특정 도메인(forum-**.ru:8080/forum/links/column.php)으로 연결이 이루어집니다.
  2. 이 과정에서 Oracle Java, Adobe Flash Player, Adobe PDF 보안 취약점을 통해 악성 파일이 다운로드 되는 방식입니다.

동영상을 보시면 보안 취약점을 이용하여 자동으로 다운로드 및 실행되는 다양한 악성 파일에 대하여 AhnLab Next V3 보안 제품에서는 "악성코드 차단 알림" 창을 통해 차단하는 모습을 볼 수 있습니다.

 

특히 정식 진단 패턴을 통해 차단된 파일은 1종이며, 그 외의 차단 6종은 "MDP 사전 보호" 기능을 통해 차단되었음을 확인할 수 있습니다.

 

만약 "MDP 사전 보호" 기능이 존재하지 않는 AhnLab 보안 제품에서는 시스템 감염이 발생하는 것은 당연하며, 이제는 단순히 업데이트 DB 진단 패턴으로는 다양한 변종 악성 파일 유포에 대응할 수 없다는 것을 확인할 수 있습니다.

 

아래의 글에서는 AhnLab Next V3 보안 제품에서 진단한 부분에 대해 바이러스토탈(VirusTotal) 진단을 근거로 "MDP 사전 보호"의 차단 능력을 알아보도록 하겠습니다.(※ 감염 과정순으로 구성되어 진단 순서는 변경될 수 있습니다.)

 

1. column[1].php (swf 파일)

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\7I9K82A8\column[1].php (MD5 : 46dd4ea1cdb58bb38488cfbddf40a7cd) - AhnLab V3 : SWF/Exploit (VirusTotal : 15/46)

이메일 첨부 파일 실행을 통해 웹 브라우저가 접속한 러시아 소재 도메인을 통해 최초 다운로드된 column[1].php 파일은 Adobe Flash Player 취약점을 이용한 swf 파일을 받아옵니다.

 

해당 파일에 대해서는 AhnLab V3 보안 제품에서 TS 진단을 통해 차단하고 있으며, 국내외 15개 보안 제품에서 차단되고 있습니다.

 

2. Dropper/MDP.Detour (19)

Dropper/MDP.Detour (19) 진단명은 대표적인 "MDP 사전 보호" 기능을 이용한 진단으로, 사용자가 웹 브라우저를 통해 접속하는 과정에서 Oracle Java 프로그램(java.exe)을 이용하여 "악성코드와 유사한 방법으로 실행 파일을 생성"하는 동작에 대한 차단입니다.

 

이를 통해 AhnLab Next V3 보안 제품에서는 실행 파일(PE 파일)을 생성하는 동작을 차단하기 위해 java.exe 프로세스(정상 파일)를 종료하는 것을 확인할 수 있습니다.

 

3. 619a720b-5f2f64b8 (JAR 파일)

  • C:\Documents and Settings\(사용자 계정)\Application Data\Sun\Java\Deployment\cache\6.0\11\619a720b-5f2f64b8 (MD5 : 76a8cf4297b3d6557114c37a80387b64) - Kaspersky : UDS:DangerousObject.Multi.Generic (VirusTotal : 1/46)

해당 파일은 Oracle Java 보안 취약점을 통해 다운로드되는 Java Applet(JAR) 파일로 "MDP 사전 보호" 기능을 통한 Dropper/MDP.Detour (19) 진단명으로 차단되고 있습니다.

 

파일의 기능은 취약점을 통해 다운로드된 JAR 파일이 실행되어 코드 실행을 통한 악성 파일을 다운로드하는 기능이며, 파일 진단 상태는 Kaspersky 보안 제품에서만 사전 방역으로 차단되고 있는 것으로 확인되고 있습니다.

 

4. contacts[1].exe / 4184170.exe

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\F32H0NE1\contacts[1].exe (MD5 : 612b6e43fd5e5933ea072d5df501790a) - Kaspersky : Trojan.Win32.Bublik.ahqz (VirusTotal : 4/46)
  • C:\Documents and Settings\(사용자 계정)\4184170.exe (MD5 : 612b6e43fd5e5933ea072d5df501790a) - Kaspersky : Trojan.Win32.Bublik.ahqz (VirusTotal : 4/46)

3번을 통해 특정 서버로부터 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\4184170.exe" 파일로 생성되며, AhnLab Next V3 보안 제품에서는 Oracle Java 보안 취약점을 통해 생성된 PE 파일에 대하여 "MDP 사전 보호" 기능을 통한 Dropper/MDP.Detour (19) 진단명으로 진단되고 있습니다.

 

또한 Adobe PDF 보안 취약점을 이용하여 d7a28[1].pdf 파일(MD5 : 7e7b561e47680cd4494a6708aa8d6477, BitDefender : PDF:Exploit.PDF-JS.VP (VirusTotal : 18/46))을 다운로드하여 4184170.exe 파일과 동일한 contacts[1].exe 파일 생성하며, 생성된 파일은 "MDP 사전 보호" 기능을 통해 Dropper/MDP.Detour 진단명으로 진단되고 있습니다.(※ Adobe PDF 취약점을 통해 다운로드되는 d7a28[1].pdf 파일은 사전 차단하지 못하였습니다. 하지만 해당 파일을 통해 생성된 최종 생성 파일들은 차단하여 시스템 감염은 차단하였습니다.)

 

즉, 이 진단은 2번의 진단과 연동되는 부분으로 AhnLab Next V3 보안 제품에서는 Java 프로그램의 취약점을 이용하여 "악성코드와 유사한 방법으로 실행 파일을 생성"하는 동작(Dropper/MDP.Detour (19))이 확인되면, 이를 통해 생성되는 3~4번 파일도 일괄적으로 자동 차단할 수 있다는 점입니다.

 

5. wpbt0.dll

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\wpbt0.dll (MD5 : 612b6e43fd5e5933ea072d5df501790a) - Kaspersky : Trojan.Win32.Bublik.ahqz (VirusTotal : 4/46)

Adobe Flash Player, Oracle Java, Adobe PDF 취약점들을 이용하여 최종적으로 생성된 wpbt0.dll 파일로 등록되어 시스템 시작시 자동 실행되어 해외 가짜 백신(FakeAV), 정보 유출 등의 악의적 행위를 수행할 수 있습니다.

 

하지만 wpbt0.dll 파일 역시도 "MDP 사전 보호"를 통해 Dropper/MDP.Detour 진단명으로 사전 차단되는 것을 확인할 수 있습니다.

 

결과적으로 스팸 메일 첨부 파일을 통해 사용자가 웹 사이트에 접속하는 과정에서 다양한 보안 취약점을 통해 악성 파일 감염을 시도하지만, AhnLab V3 보안 제품에서는 column[1].php 파일만을 진단할 뿐 다른 악성 파일에 대해서는 진단 패턴을 통해서는 진단되지 않습니다.

 

하지만 AhnLab Next V3 보안 제품에서는 "MDP 사전 보호" 기술을 이용하여 다양한 감염 동작에 대해 사전 방역이 가능하며, 실제로 모든 접속이 완료된 환경에서는 사용자 PC에서는 인터넷 임시 파일에 존재하는 d7a28[1].pdf 파일만 진단하지 못할 뿐 시스템 감염은 발생하지 않았습니다.(※ 해당 파일은 인터넷 옵션에서 임시 인터넷 파일 삭제를 하시면 자동으로 삭제 처리됩니다.)

또한 "클라우드 평판"에서 제공하는 "최근 생성된 파일" 기능을 통해서도 진단되지 않은 파일을 손쉽게 확인할 수 있습니다.

 

바이러스토탈(VirusTotal) 진단 통계를 살펴보아도 해당 감염 방식을 통해 생성되는 다양한 악성 파일에 대해 효과적으로 대응하는 제품은 Kaspersky 보안 제품 정도라고 평가할 수 있으며, 이제는 단순히 시그니처(Signature) 진단 방식만을 고집하는 보안 제품은 다양한 보안 위협으로부터 시스템을 보호할 수 없다고 할 수 있겠습니다.(※ 물론 바이러스토탈(VirusTotal) 진단과 달리 일부 보안 제품에서는 사전 방역 기술을 통해 진단(대응)할 수 있습니다.)

 

그러므로 앞으로 AhnLab 보안 제품군에 적용될 "MDP 사전 보호" 기술은 해외 유명 보안 제품과 비교하여 크게 떨어지는 수준이 아닌 대등하게 경쟁이 이루어질 수 있으리라 평가됩니다.