본문 바로가기

벌새::Security

반복적인 AhnLab V3 클라우드 자동 분석 요청 문제 : ascrts.sys, btscan.exe, fse_file.dll (2014.4.11)

반응형

2014년 4월 10일 오후 10시경 AhnLab V3 보안 제품이 2014.04.11.00 엔진 업데이트를 진행하면서 ascrts.sys(AhnLab TS Engine Driver), btscan.exe(Boot Time Scanner) 등의 일부 구성 파일을 새롭게 업데이트한 것으로 파악됩니다.

그런데 엔진 업데이트가 완료되면서 AhnLab V3 보안 제품에서 제공하는 클라우드 자동 분석 기능을 통해 AhnLab V3 관련 파일을 수집하는 동작이 이루어지는 것을 확인할 수 있었습니다.(※ 예전에도 엔진 업데이트 이후 AhnLab V3 보안 제품의 파일을 수집하는 정책이 유지되고 있었습니다.)

  • C:\Program Files\AhnLab\V3Clinic30\asc\334\fse_file.dll
  • C:\Program Files\AhnLab\V3Clinic30\ASC\ascrts.sys
  • C:\Program Files\ahnlab\v3clinic30\mupdate2\update\win\e\b\b_bts_nt\btscan.exe
  • C:\Program Files\AhnLab\V3Clinic30\MUpdate2\Update\win\e\b\b_bts_nt\btscan.exe_dlt
  • C:\Program Files\AhnLab\V3Clinic30\MUpdate2\Update\win\e\b\b_echo_nt_as_only\fse_file.dll
  • C:\Program Files\AhnLab\V3Clinic30\MUpdate2\Update\win\e\b\b_realtime_nt\ascrts.sys
  • C:\Windows\System32\btscan.exe

일반적으로 "클라우드 자동 분석 요청" 팝업창이 생성되어 목록과 같은 파일들이 수집되었을 것으로 추정됩니다.

이렇게 수집된 파일 정보는 "클라우드 자동 분석" 목록에 표시되는데, 10시경에 업데이트되어 생성된 파일들이 2014년 4월 11일 오전 1시가 경과하는 시간까지 일부 파일이 정상적으로 전송되어 분석되지 않는 문제가 발생하고 있습니다.

더욱 문제되는 부분은 "C:\Windows\System32\btscan.exe" 파일의 경우 이미 전송 완료되어 "분석 중"으로 표시되고 있지만 "클라우드 자동 분석 요청" 창이 생성되어 재전송을 요구하는 문제가 발생하고 있는 것으로 파악되고 있습니다.

 

만약 AhnLab V3 보안 제품 사용자 중에서 지속적으로 동일한 파일을 전송하지 못하고 "클라우드 자동 분석 요청" 창이 생성될 경우에는 임시로 환경 설정의 "Active Defense 설정" 메뉴에서 "클라우드 자동 분석 사용" 항목을 체크 해제하시기 바랍니다.(※ 이 경우 차후 알려지지 않은 파일을 전송하지 않는 문제가 있으므로 개인적으로 추천하는 방식이 아닙니다.)

또는 환경 설정의 "사용 환경 → 알림 설정"에 등록된 "설정" 버튼을 클릭하여 "클라우드 자동 분석 요청을 위해 파일 전송할 때 알림" 체크 박스를 해제하시기 바랍니다.

위와 같이 설정을 한 경우에는 클라우드 자동 분석 요청 팝업창 대신 풍선창으로 표시되어 PC 사용에 큰 불편이 없으리라 생각됩니다.

 

이번 문제는 안랩(AhnLab)에서 제작한 정상적인 파일을 사전에 클라우드 서버에 등록한 후 배포를 하였다면 문제가 발생하지 않았을 것으로 생각되며, 자사의 디지털 서명까지 된 파일을 분석시 오랜 시간이 걸리는 점은 문제가 있다고 생각합니다.(※ 특히 2014년 4월 10일경부터 파일 전송에 문제가 있는 것 같더군요.)

 

 Update : 일부 파일 분석 완료 및 정상 판정 (2014.4.11 01:45)

글 작성 완료 후 추가 확인을 해보니 현재 전송이 완료되어 분석된 파일(fse_file.dll)에 대하여 정상 판정이 이루어지고 있는 것을 확인하였으며, 나머지 파일도 조만간 분석이 완료될 것으로 보입니다.

728x90
반응형