울지않는벌새 : Security, Movie & Society

AhnLab V3 보안 제품의 DLL 파일에 대한 Active Defense 차단 정책

벌새::Software

AhnLab V3 보안 제품에 포함된 Active Defense 메뉴는 실행 중인 프로세스, 생성 파일, 프로그램 주요 행위, 클라우드 자동 분석 내용을 제공하여 가시성을 확보해주는 타 보안 제품에서는 볼 수 없는 유용한 기능입니다.(※ Active Defense 기능은 AhnLab V3 365 Clinic, AhnLab V3 Internet Security 9.0 유료 제품에서만 이용할 수 있습니다.)

 

특히 AhnLab V3 보안 제품에서 진단할 수 없는 악성 파일을 사용자가 차단(User/Gen.Block)하여 능동적으로 대응할 수 있으며, 차단된 실행 파일(exe)은 어떠한 위치에 위치하여도 지속적으로 차단이 가능합니다.

 

그런데 DLL 파일의 경우 EXE 파일과는 다르게 Active Defense 기능에서 다르게 동작하는 부분이 확인되어 살펴보도록 하겠습니다.(※ 초창기부터 DLL 파일에 대한 차단 정책이 EXE 파일과는 달랐는지는 알 수 없습니다.)

 

[테스트 파일]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\HYDBD5B.tmp.1443247669\HTA\3rdparty\OCComSDK.dll
 - SHA-1 : e1ba32f464f2982f70abb2f2b6c8960f62c87845
 - Panda : PUP/OpenCandy (VT : 6/54)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\HYDBD5B.tmp.1443247669\HTA\3rdparty\OCSetupHlp.dll
 - SHA-1 : 4f592c5f94a3c1e4c71be050655bcaa6cea4fa89
 - Trend Micro : ADW_OPENCANDY (VT : 17/56)

 

※ 해당 파일에 대하여 AhnLab V3 보안 제품에서는 불필요한 프로그램(PUP) 진단이 이루어지지 않는 미확정 파일입니다.

 

테스트에서는 µTorrent 파일 공유 프로그램 설치(업데이트) 과정에서 생성되는 OpenCandy 해외 제휴 프로그램 관련 파일이 임시 폴더 내에 매번 생성되는 부분을 Active Defense 기능을 통해 차단하였습니다.

 

이후 µTorrent 프로그램의 업데이트 과정에서 기존에 차단한 OCComSDK.dll, OCSetupHlp.dll 파일과 동일한 Hash값을 가진 DLL 파일을 임시 폴더 내의 다른 폴더 내에 생성을 하였습니다.

업데이트가 완료된 후 Active Defense 항목을 확인해보면 기존에 차단한 파일에 대해 악성 파일로 분류하고 있지만, 최초 파일 생성시 실시간 검사 기능에서는 차단하지 않은 것을 알 수 있습니다.

악성으로 표시되는 2종의 파일을 찾아 수동 검사를 진행하여도 진단이 이루어지지 않는 것을 알 수 있습니다.

이런 상황에서 Active Defense 항목에 표시된 OCComSDK.dll, OCSetupHlp.dll 파일을 사용자가 체크한 후 "차단" 버튼을 클릭할 경우 "Active Defense 차단" 창이 생성되면서 파일을 자동으로 삭제(User/Gen.Block)하는 모습을 볼 수 있습니다.

 

Active Defense 기능을 통해 AhnLab V3 보안 제품에서 진단이 이루어지지 않는 파일에 대해 차단을 진행할 경우 EXE 파일의 경우에는 폴더 경로와 상관없이 파일 생성시 자동으로 차단이 이루어집니다.

 

하지만 DLL 파일의 경우에는 사용자가 최초 차단값으로 등록한 파일과 동일한 Hash값을 가진 파일일지라도 폴더 경로가 다를 경우에는 Active Defense 파일 상태에서는 악성으로 표시하지만 실시간 검사 및 수동 검사에서 진단이 이루어지지 않도록 정책이 설정되어 있습니다.

 

이유는 정확하게 알 수 없지만 공용 DLL 파일로 인하여 악성 프로그램에서 정상적으로 사용하는 DLL 파일을 활용할 수 있는 문제를 감안한게 아닌가 추정됩니다.

 

그러므로 Active Defense 기능을 통해 특정 DLL 파일을 악성 파일로 추가한 경우 다른 폴더 위치에 차단한 DLL 파일이 생성된 경우에는 자동으로 차단되지 않는다는 점을 명심하시고 사용하시기 바랍니다.