울지않는벌새 : Security, Movie & Society

AhnLab V3 365 Clinic 3.0 제품 비교 : 사이트 & 파일 분석 보고서 <2>

벌새::Software
● 해당 게시글은 "New V3 365 클리닉 서포터즈" 참여를 목적으로 작성된 글이며, AhnLab V3 365 Clinic 2.9 vs. AhnLab V3 365 Clinic 3.0 버전을 비교하여 작성하였습니다.

 

(주)안랩(AhnLab) 보안 업체에서 출시한 다차원 분석 플랫폼 기반의 AhnLab V3 365 Clinic 3.0 제품에서 제공하는 파일 및 사이트(URL/IP)에 대한 세부적인 정보를 제공하는 분석 보고서의 내용과 실제 활용법에 대해 살펴보도록 하겠습니다.

 

  AhnLab V3 365 Clinic 3.0 제품 비교 : 사이트 & 파일 분석 보고서 <1> (2013.8.8)

 

이 글에서는 국내에서 제작된 "Windows seconpageSetup" 프로그램을 통해 생성된 "정기 업데이트 설치" 창이 생성되는 동작에 대한 원인을 분석 보고서를 통해 추적하는 방법을 소개해 드리겠습니다.

Windows 시작 후 "정기 업데이트 설치" 창이 생성될 경우 어떤 프로그램이 업데이트 창을 생성하는지 여부와 문제의 프로그램이 어떤 과정을 통해 설치되었는지에 대해 확인을 해보도록 하겠습니다.

우선 업데이트 창 생성을 유발하는 파일은 "Active Defense → 현재 프로세스" 메뉴를 통해 현재 동작하는 파일(프로세스)을 확인할 수 있으며, 특히 클라우드 평판을 통해 문제가 되는 위와 같은 불필요한 프로그램(PUP)은 붉은색 안전도 표시를 통해 자동으로 필터링되어 사용자가 쉽게 찾을 수 있습니다.

 

표시된 SeStPage.exe 파일을 클릭하면 ASD 클라우드 서버에서 제공하는 정보를 바탕으로 웹 브라우저를 통해 "AhnLab V3 파일 분석 보고서"를 생성합니다.

생성된 "AhnLab V3 파일 분석 보고서"에서는 사용자 PC에서 확인 가능한 정보와 ASD 클라우드 서버에서 수집된 정보를 종합하여 제공되고 있습니다.

 

1. 요약 및 파일 평판 정보

  • 안전도(막대 그래프) : 정상 파일(파란색), 악성 파일(붉은색), 미확정(회색, 파란색 일부, 붉은색 일부)
  • 안전도 평가 : 정상, 악성, 미확정

특히 개인적으로 체감되는 막대 그래프의 안전도는 미확정 파일이 3단계 이상의 붉은색으로 표시될 경우에는 AhnLab V3 365 Clinic 3.0 제품에서 진단되지 않지만 분석 보고서를 통해 정보를 확인하시기 바랍니다.

 

(1) 요약 정보

  • 최초 발견 날짜 : 사용자 PC에 파일이 생성된 날짜
  • 의심 행위 개수 : 사용자 PC에서 확인된 의심 행위 이력 개수
  • 디지털 서명 : 파일에 포함된 디지털 서명자 이름
  • 제작자 : 파일 제작사 이름
  • 최초 실행 날짜 : 사용자 PC에서 최초 실행된 날짜
  • 유포 경로 : 파일 다운로드 URL 주소

요약 정보에서는 AhnLab V3 365 Clinic 3.0 제품을 설치한 이후 기록된 파일에 대한 정보를 기반으로 제공됩니다.

 

(2) 파일 평판 정보

  • 다운로드 주소 : ASD 클라우드 서버에서 제공하는 파일 유포 경로 주소(URL) 추정(※ 현재까지 제공되는 정보는 본 적이 없습니다.)
  • 최초 보고 날짜 : ASD 클라우드 서버에 최초 수집된 날짜
  • 사용자 수 : ASD 클라우드 서비스를 사용하는 AhnLab V3 사용자 PC에서 발견된 숫자
  • 클라우드 평판(허용 / 차단) : 의심 파일 실행 탐지창에서 허용 또는 차단한 숫자
  • 최초 발견 국가 : ASD 클라우드 서버에 최초 전송한 PC의 위치(국가)
  • 안전도 평가 : 안전, 악성, 미확정

파일 평판 정보는 ASD 클라우드 서버에서 제공하는 파일 정보를 의미하며, 실시간으로 정보가 갱신될 수 있습니다.

 

2. 발견 파일 정보, 버전 정보, 디지털 서명, MS Catalog

 

발견 파일 정보, 버전 정보, 디지털 서명은 Windows 운영 체제에서 기본적으로 제공되는 파일 속성값을 포함하여 다양한 파일 분석 도구를 통해 확인 가능한 정보를 표시합니다.

(1) 발견 파일 정보

  • 파일 크기 : 바이트(Bytes) 단위
  • 만든 날짜, 수정한 날짜 : 개발자가 파일을 제작(수정)한 날짜
  • 액세스한 날짜 : 파일을 실행(파일 이름 변경 등)한 날짜로 가변적입니다.
  • 최초 발견 날짜 : 사용자 PC에 생성된 날짜
  • 최초 실행 날짜 : 사용자 PC에서 최초 실행된 날짜
  • MD5 정보 : 파일 해시(Hash)값

(2) 버전 정보

버전 정보에서는 파일 속성에서 제공하는 기본 정보를 비롯한 빌드 정보를 수집하여 표시할 수 있습니다.

 

(3) 디지털 서명

파일에 디지털 서명이 포함되어 있는 경우에는 디지털 서명란에 서명자 이름, 연대 서명자 이름, 타임 스탬프, 정상 여부가 표시됩니다.

 

(4) MS Catalog

 

MS Catalog는 마이크로소프트(Microsoft)에서 인증된 파일에 대해서만 정상 여부 영역에 "정상"이라고 표시될 수 있습니다.

 

3. 의심 행위 이력

의심 행위 이력은 사용자 PC에서 발생한 파일 다운로드 및 실행을 통해 기록된 정보 중 프로그램에서 지정한 의심 행위 조건에 부합될 경우 자동으로 등록되며, 해당 정보는 ASD 클라우드 서버에 전송되어 다른 사용자들에게 "클라우드 발견 의심 행위" 정보로 공유됩니다.

 

4. Dropper 정보, 다운로드 주소

  • Dropper 정보 : 사용자가 확인하는 파일을 생성한 파일
  • 다운로드 주소 : 사용자가 확인하는 파일의 다운로드 주소(URL)

드로퍼(Dropper)는 파일 분석 보고서를 통해 확인하는 파일을 생성한 파일을 의미하며, 제시된 정보에서는 Dropper 파일의 생성 날짜, 파일 이름, 제작사, 클라우드 평판 정보를 제공하고 있습니다.

 

사용자가 파일 이름(set_esec_h.exe)를 클릭할 경우 해당 파일에 대한 파일 분석 보고서가 추가로 오픈되어 정보를 확인할 수 있습니다.

 

다운로드 주소는 사용자가 확인하는 파일이 외부에서 다운로드된 경우 주소(URL) 정보를 표시하며, 해당 URL 주소에 접속한 사용자 수, 최초 발견 날짜(ASD 클라우드 서버 기준), 클라우드 평판(사이트 평판) 정보를 표시합니다.

 

5. 클라우드 기본 정보

  • 배포처 : 파일 다운로드 주소 추정(※ 현재까지 배포처 정보가 표시되는 것을 본 적이 없습니다.)
  • 사용자 수 : ASD 클라우드 서비스를 사용하는 AhnLab V3 사용자 PC에서 발견된 숫자
  • 최초 발견 국가 : ASD 클라우드 서버에 최초 전송한 PC의 위치(국가)
  • 최초 보고 날짜 : ASD 클라우드 서버에 최초 전송된 날짜
  • 클라우드 평판 : 의심 파일 실행 탐지창에서 허용 또는 차단한 숫자

클라우드 기본 정보는 사용자가 확인하는 파일에 대하여 ASD 클라우드 서버에서 수집된 정보를 제공받아 표시됩니다.

 

6. 클라우드 발견 의심 행위

클라우드 발견 의심 행위는 기본적으로 사용자 PC에서 확인된 "의심 행위 이력" 정보가 ASD 클라우드 서버에 전송 및 종합되어 공유되는 정보로 해당 의심 행위가 비정상적으로 많이 기록된 경우에는 의심스러운 기능을 하는 파일로 볼 수 있습니다.

 

특히 악성(불필요한, 많은 사용자가 차단한) 사이트로 연결 시도, 악성(불필요한, 많은 사용자가 차단한) 프로그램 실행, 악성(불필요한, 많은 사용자가 차단한) 프로그램을 생성, 안정성이 확인되지 않은(악성, 불필요한, 많은 사용자가 차단한) 프로그램을 다운로드하는 등의 행위는 추가적인 역추적을 통해 해당 파일이 어떤 과정을 통해 설치되었으며, 추가적으로 설치되는 프로그램은 무엇인지 확인할 필요가 있습니다.

 

7. 주요 행위

 

주요 행위는 "AhnLab V3 파일 분석 보고서"의 가장 핵심적인 기능이라고 판단되며, 기본적으로 "Active Defense → 프로그램 주요 행위" 메뉴에 기록된 정보 중 사용자가 확인하는 파일과 연관된 정보만을 자동으로 필터링하여 분석 보고서로 보여줍니다.

 

이를 통해 사용자는 파일 하나를 통해 전체적인 프로그램의 설치(생성)와 관련된 큰 흐름을 시간순으로 한 눈에 확인할 수 있습니다.

주요 행위 정보를 확인해보면 최초 sestpage.exe 파일을 생성한 파일(Dropper)의 이름이 set_esec_h.exe 파일임을 확인할 수 있으며, 해당 파일명을 클릭하면 파일 분석 보고서가 생성되어 Dropper 파일에 대한 정보를 확인할 수 있습니다.

 

하지만 만약 Dropper 파일이 Windows seconpageSetup 프로그램을 설치한 후 삭제 처리된 경우에는 파일 분석 보고서에서는 정보를 제공하지 않기 때문에 다음과 같은 방식으로 추적을 할 수 있습니다.

주요 행위는 "Active Defense → 프로그램 주요 행위" 메뉴에 기록된 정보를 자동으로 필터링 처리하여 보여주므로 분석 보고서에서 표시되지 않는 정보는 직접 "프로그램 주요 행위"에서 찾아서 확인할 수 있습니다.

 

앞서 언급한 Windows seconpageSetup 프로그램의 Dropper 파일인 set_esec_h.exe 파일이 최초 생성된 시점을 확인해보면 "설치 파일 URL 정보"를 통해 다운로드 주소(URL)를 확인할 수 있으며, 파일 다운로드를 유발한 파일(설치 파일 Dropper)이 3412fd0f6e943aa67cf153b0ddf0fe.exe 파일임을 확인할 수 있습니다.

 

3412fd0f6e943aa67cf153b0ddf0fe.exe 파일은 다시 "설치 파일 Dropper URL 정보"를 통해 어떤 다운로드 주소를 통해 받아졌는지 확인 가능하며, 해당 파일은 최종적으로 Internet Explorer 웹 브라우저(iexplore.exe)를 통해 다운로드된 araltrans3.exe 파일 실행을 통해 다운로드 되었음을 알 수 있습니다.

 

이를 통해 사용자는 자신이 인터넷 상에서 다운로드한 araltrans3.exe 파일을 실행하는 과정에서 자신도 모르게 설치된 파일을 확인할 수 있으며, 어떤 서버(URL/IP)와 연결되는지 정보를 확인하여 Active Defense 또는 웹 보안 영역에 관련 파일 또는 주소를 추가하여 차단할 수도 있습니다.

 

위와 같은 일련의 역추적 방식은 고급 사용자 수준에서 가능하지만 사용자가 프로그램 주요 행위에서 제공하는 행위 정보를 통해 확인하는 습관을 가진다면 크게 어려운 일은 결코 아닐꺼라고 생각됩니다.

 

8. 진단 정보

진단 정보는 PC 실시간 검사 또는 사용자의 의한 수동 검사를 통해 파일을 진단한 경우에 표시되며, 진단 가능한 파일에 대해 검사를 하지 않은 상태에서 파일 분석 보고서를 확인할 때에는 "악성"으로만 파일 평판 정보에 표시됩니다.

 

9. AhnLab V3 사이트 분석 보고서

 

AhnLab V3 365 Clinic 3.0 제품에서 표시되는 서버(URL/IP) 정보에 대해서는 AhnLab V3 파일 분석 보고서와 마찬가지로 "AhnLab V3 사이트 분석 보고서"를 통해 정보를 확인할 수 있습니다.

대표적인 예로 웹 보안 기능을 통해 악성 사이트에 접속이 이루어지는 과정에서 "악성 사이트 접근 차단" 창을 통해 연결을 차단하는 경우 제시된 주소(URL) 영역을 클릭하면 "AhnLab V3 사이트 분석 보고서"로 연결이 이루어진다고 앞서 소개하였습니다.

  • 안전도(막대 그래프) : 정상(파란색), 불필요한 사이트(PUS), 악성(붉은색), 미확정(회색)
  • 안전도 평가 : 정상, 악성, 미확정
  • 분석 대상(사이트 주소) : URL/IP 주소
  • 최초 보고 날짜 : ASD 클라우드 서버에 최초 수집된 날짜
  • 보고된 개수 : ASD 클라우드 서비스를 사용하는 AhnLab V3 사용자가 접속한 숫자
  • 사이트 평판 : 웹 보안의 사용자 지정 사이트 관리에 신뢰 또는 차단에 추가한 숫자
  • 안전도 평가 : 정상, 유해

AhnLab V3 사이트 분석 보고서의 "주요 행위"에서는 해당 사이트(URL/IP)로 연결을 시도한 파일(프로세스 이름)을 통해 어떤 프로그램이 연결을 시도했는지 확인할 수도 있습니다.

 

전체적으로 내용을 종합해보면 AhnLab V3 파일(사이트) 분석 보고서는 사용자가 확인하기 원하는 파일 또는 사이트(URL/IP)에 대한 종합적인 정보를 ASD 클라우드 서버에서 제공받아 AhnLab V3 365 Clinic 3.0 제품에서 진단(차단)하지 못하는 악성 파일(사이트)을 찾을 수 있는 방법을 제공하고 있습니다.

 

특히 Active Defense 기능에서 제공하는 복잡한 프로그램 주요 행위 정보를 빠르게 필터링하여 사용자가 과거에는 알기 어려웠던 파일의 흐름을 감시할 수 있다는 장점을 제공해주고 있으므로 잘 활용하시기 바랍니다.