본문 바로가기

벌새::Software

AhnLab V3 365 Clinic 3.0 : Active Defense를 이용한 프로그램 확인하기

● 해당 게시글은 "New V3 365 클리닉 서포터즈" 참여를 목적으로 작성된 글입니다.

 

(주)안랩(AhnLab) 보안 업체에서 출시한 다차원 분석 플랫폼 기반의 AhnLab V3 365 Clinic 3.0 제품은 AhnLab V3 Lite 3.1 무료 백신과 비교하여 "Active Defense" 기능을 통해 알려지지 않은 보안 위협을 사용자가 찾을 수 있는 가시성을 제공한다는 장점을 가지고 있습니다.

 

이 글에서는 실제 사례를 통해 사용자가 프로그램을 설치하는 과정에서 AhnLab V3 365 Clinic 3.0 제품을 통해 확인해야 할 부분과 Active Defense 기능을 통해 시스템에서 발생하는 위협 요소를 찾아 능동적으로 대응하는 방법을 살펴보도록 하겠습니다.

 

  AhnLab V3 365 Clinic 3.0 : 환경 설정 방법 (2013.8.20)

 

참고로 AhnLab V3 365 Clinic 3.0 제품의 기본값으로 사용하는 경우를 가정하였으며, 실제 사용시에는 추가적인 환경 설정 변경을 통해 진단 능력을 강화하시기 바랍니다.

유튜브(YouTube) 동영상을 다운로드 하기 위하여 인터넷에서 프로그램을 찾던 중 흥미로운 프로그램의 설치 파일을 다운로드하게 됩니다.

다운로드된 설치 파일을 실행하기에 앞서 "탐색기 검사"를 통한 진단 여부 확인과 "파일 분석 보고서"를 통해 파일에 대한 평판 정보를 확인해 봅니다.

"AhnLab V3 파일 분석 보고서" 정보에서는 해당 파일은 최초 발견(2013년 7월 16일), 사용자 수(11명), 의심 행위(1건)으로 표시된 정상로 분류하고 있습니다.

하지만 ASD 클라우드 서버에서 제공하는 "클라우드 발견 의심 행위" 정보에서 "불필요한 프로그램(PUP)을 다운로드하였습니다."라는 정보를 통해 추가적인 프로그램 설치가 있을 수 있다는 점을 유추할 수 있습니다.(※ 해당 정보는 ASD 클라우드 서버에서 수집된 의심 행위를 파일을 직접 실행하지 않은 사용자에게도 제공하여 정보를 공유할 수 있습니다.)

 

현명한 사용자라면 파일 분석 보고서 정보를 바탕으로 해당 파일 실행을 하지 않는 것이 가장 훌륭한 선택이겠지만, 이를 무시하고 프로그램을 설치하기 시작하였다고 가정해 보았습니다.

유튜브겟(YoutubeGet) 프로그램 설치 과정에서는 기본 설치 요소 외에 스크롤바를 내릴 경우 제휴 프로그램으로 파인드락(FindLock)이 체크되어 있지만, 사용자가 제대로 확인하지 않고 설치를 진행하는 경우가 많습니다.

프로그램 설치가 진행되는 과정에서 "개인 방화벽" 기능을 통해 FNLAG.EXE 생성 파일이 원격 IP 서버를 연결하는 시도를 탐지하여 "네트워크 연결 시도 탐지" 창을 생성합니다.

 

이 과정에서 현명한 사용자는 제시된 프로그램 이름에 표시된 파일명(FNLAG.EXE) 링크를 클릭하여 "AhnLab V3 파일 분석 보고서"를 통해 어떤 파일이 연결을 시도하는지 확인할 수 있습니다.

보고서에서는 "C:\Program Files\ClickKorea\YoutubeGet\fnlag.exe" 파일에 대한 다양한 정보와 함께 안전도 평가가 "악성"으로 분류되어 있는 것을 확인할 수 있으며, 사용자는 이를 기반으로 "네트워크 연결 시도 탐지" 창에서 "차단" 버튼을 클릭하여 해당 파일이 외부와 연결하는 동작을 중지해야 합니다.(※ 실제 fnlag.exe 파일은 PUP/Win32.SearchKeys.R76113 진단명으로 불필요한 프로그램(PUP) 진단이 이루어지고 있지만, 사용자가 환경 설정을 기본값으로 AhnLab V3 365 Clinic 3.0 제품을 사용할 경우에는 진단되지 않습니다.)

 

프로그램 설치가 완료된 사용자는 반드시 AhnLab V3 365 Clinic 3.0 제품에서 제공하는 "Active Defense → 최근 생성 파일(전체)" 메뉴를 통해 설치 과정에서 생성된 파일 및 안전도를 확인하시기 바랍니다.

 

기존 제품이나 타 국내외 유명 보안 제품에서는 Active Defense 기능과 같은 가시성을 제공하지 않는 문제로 사용자가 설치가 프로그램으로 인해 어떤 파일이 생성되었는지 확인하기가 매우 어려운 반면, Active Defense 기능은 사용자 몰래 설치되는 파일까지 자동으로 추적하여 다양한 정보를 실시간으로 제공하고 있습니다.

실제 프로그램 설치 과정에서 개인 방화벽 기능을 통해 fnlag.exe 파일이 외부 서버와 통신을 하지 못하도록 차단한 이후 생성 파일을 보면 fnlag[1].exe 파일에 대해 붉은색(악성)으로 표시하며, 유튜브겟 설치 파일(setupyoutubegetv1.0.exe)이 드로퍼(Dropper) 역할을 하여 악성 파일(fnlag[1].exe)을 생성하였음을 알 수 있습니다.

"최근 생성 파일"에 표시된 fnlag[1].exe 악성 파일을 클릭하여 "AhnLab V3 파일 분석 보고서"를 확인해보면, 해당 파일은 특정 서버(유포 경로 URL 주소)에서 인터넷 임시 폴더에 다운로드된 후 "C:\Program Files\ClickKorea\YoutubeGet\fnlag.exe" 파일로 생성되었음을 유추할 수 있습니다.

 

이렇게 생성된 fnlag.exe 파일이 외부 특정 서버와 네트워크 연결을 시도하는 과정에서 "개인 방화벽"이 동작하여 "네트워크 연결 시도 탐지" 창을 생성하여 허용 여부를 물었던 것을 알 수 있으며, 사용자가 "차단"을 통해 추가적인 다운로드를 하지 못하도록 한 것입니다.

 

위와 같은 안전 장치에도 불구하고 사용자가 개인 방화벽에서 "허용" 규칙으로 fnlag.exe 파일의 네트워크 연결을 허용한 경우에는 파인드락(FindLock) 제휴 프로그램이 백그라운드 방식으로 자동 설치가 이루어집니다.

생성된 파일을 보면 드로퍼(Dropper)로 등록된 "C:\Program Files\ClickKorea\YoutubeGet\fnlag.exe" 이 다수의 파일을 추가로 생성하여 파인드락(FindLock) 제휴 프로그램을 설치한 것을 확인할 수 있습니다.

 

일련의 기록을 통해 붉은색으로 표시된 네트워크 연결을 시도한 fnlag[1].exe 파일을 클릭하여 어떤 파일이 생성되었는지를 "AhnLab V3 파일 분석 보고서"를 통해 자세히 살펴보도록 하겠습니다.

  1. 유튜브겟(YoutubeGet) 설치 파일(setupyoutubegetv1.0.exe)이 외부 서버에서 fnlag[1].exe 파일 다운로드하여 "C:\Program Files\ClickKorea\YoutubeGet\fnlag.exe" 파일 생성
  2. 생성된 fnlag.exe 파일이 자동 실행되어 네트워크 연결 시도하여 다수의 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\FindLock" 폴더에 파인드락(FindLock) 제휴 프로그램 생성

이를 통해 사용자는 유튜브겟(YoutubeGet) 프로그램으로 인해 파인드락(FindLock) 프로그램이 생성되었음을 빠른 시간에 확인할 수 있습니다.

사용자 실수 또는 인지하지 못하는 과정에서 설치된 파인드락(FindLock) 프로그램을 제거하기 위하여 "최근 생성 파일"에 등록된 정보를 바탕으로 삭제할 파일을 체크한 후 "차단" 버튼을 클릭하시면 Active Defense 차단 목록에 등록되어 다음과 같이 자동 처리가 이루어집니다.

차단이 이루어진 파일은 PC 실시간 검사(Active Defense 차단) 또는 수동 검사(정밀 검사)를 통해 User/Gen.Block 진단명으로 삭제 처리 및 검역소에 백업 처리됩니다.

 

이번 사례의 경우에는 이미 AhnLab V3 365 Clinic 3.0 제품에서 불필요한 프로그램(PUP) 진단이 이루어져서 Active Defense 메뉴에서 붉은색(악성)으로 표시되어 쉽게 찾을 수 있었지만, 진단되지 않는 파일의 경우에도 유사한 방식으로 안전도 및 파일 평판 정보를 통해 찾을 수 있으리라 판단됩니다.

 

그러므로 핵심적인 결론은 AhnLab V3 365 Clinic 3.0 제품 사용자라면 "Active Defense → 최근 생성 파일" 기능을 이용하여 프로그램 설치 이후 또는 주기적인 확인을 통해 사용자 몰래 설치되는 파일이 있는지 확인하는 습관이 필요하겠습니다.

 

또한 사용자 몰래 설치된 파일이 있는 경우에는 드로퍼(Dropper) 파일을 확인하여 어떤 경로(파일)를 통해 설치가 이루어졌는지 확인하여 문제의 근원이 되는 추가적인 악성 파일까지 함께 삭제를 하시는 것이 가장 중요합니다.

 

전체적으로 Active Defense 기능을 초보자가 이해하기는 어렵지만 제품을 사용하면서 이해를 하다보면 자신도 모르게 전체적인 큰 흐름을 알 수 있지 않을까 생각됩니다. 홧팅2