본문 바로가기

벌새::Software

AhnLab V3 보안 제품의 DLL 파일에 대한 Active Defense 차단 정책

반응형

AhnLab V3 보안 제품에 포함된 Active Defense 메뉴는 실행 중인 프로세스, 생성 파일, 프로그램 주요 행위, 클라우드 자동 분석 내용을 제공하여 가시성을 확보해주는 타 보안 제품에서는 볼 수 없는 유용한 기능입니다.(※ Active Defense 기능은 AhnLab V3 365 Clinic, AhnLab V3 Internet Security 9.0 유료 제품에서만 이용할 수 있습니다.)

 

특히 AhnLab V3 보안 제품에서 진단할 수 없는 악성 파일을 사용자가 차단(User/Gen.Block)하여 능동적으로 대응할 수 있으며, 차단된 실행 파일(exe)은 어떠한 위치에 위치하여도 지속적으로 차단이 가능합니다.

 

그런데 DLL 파일의 경우 EXE 파일과는 다르게 Active Defense 기능에서 다르게 동작하는 부분이 확인되어 살펴보도록 하겠습니다.(※ 초창기부터 DLL 파일에 대한 차단 정책이 EXE 파일과는 달랐는지는 알 수 없습니다.)

 

[테스트 파일]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\HYDBD5B.tmp.1443247669\HTA\3rdparty\OCComSDK.dll
 - SHA-1 : e1ba32f464f2982f70abb2f2b6c8960f62c87845
 - Panda : PUP/OpenCandy (VT : 6/54)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\HYDBD5B.tmp.1443247669\HTA\3rdparty\OCSetupHlp.dll
 - SHA-1 : 4f592c5f94a3c1e4c71be050655bcaa6cea4fa89
 - Trend Micro : ADW_OPENCANDY (VT : 17/56)

 

※ 해당 파일에 대하여 AhnLab V3 보안 제품에서는 불필요한 프로그램(PUP) 진단이 이루어지지 않는 미확정 파일입니다.

 

테스트에서는 µTorrent 파일 공유 프로그램 설치(업데이트) 과정에서 생성되는 OpenCandy 해외 제휴 프로그램 관련 파일이 임시 폴더 내에 매번 생성되는 부분을 Active Defense 기능을 통해 차단하였습니다.

 

이후 µTorrent 프로그램의 업데이트 과정에서 기존에 차단한 OCComSDK.dll, OCSetupHlp.dll 파일과 동일한 Hash값을 가진 DLL 파일을 임시 폴더 내의 다른 폴더 내에 생성을 하였습니다.

업데이트가 완료된 후 Active Defense 항목을 확인해보면 기존에 차단한 파일에 대해 악성 파일로 분류하고 있지만, 최초 파일 생성시 실시간 검사 기능에서는 차단하지 않은 것을 알 수 있습니다.

악성으로 표시되는 2종의 파일을 찾아 수동 검사를 진행하여도 진단이 이루어지지 않는 것을 알 수 있습니다.

이런 상황에서 Active Defense 항목에 표시된 OCComSDK.dll, OCSetupHlp.dll 파일을 사용자가 체크한 후 "차단" 버튼을 클릭할 경우 "Active Defense 차단" 창이 생성되면서 파일을 자동으로 삭제(User/Gen.Block)하는 모습을 볼 수 있습니다.

 

Active Defense 기능을 통해 AhnLab V3 보안 제품에서 진단이 이루어지지 않는 파일에 대해 차단을 진행할 경우 EXE 파일의 경우에는 폴더 경로와 상관없이 파일 생성시 자동으로 차단이 이루어집니다.

 

하지만 DLL 파일의 경우에는 사용자가 최초 차단값으로 등록한 파일과 동일한 Hash값을 가진 파일일지라도 폴더 경로가 다를 경우에는 Active Defense 파일 상태에서는 악성으로 표시하지만 실시간 검사 및 수동 검사에서 진단이 이루어지지 않도록 정책이 설정되어 있습니다.

 

이유는 정확하게 알 수 없지만 공용 DLL 파일로 인하여 악성 프로그램에서 정상적으로 사용하는 DLL 파일을 활용할 수 있는 문제를 감안한게 아닌가 추정됩니다.

 

그러므로 Active Defense 기능을 통해 특정 DLL 파일을 악성 파일로 추가한 경우 다른 폴더 위치에 차단한 DLL 파일이 생성된 경우에는 자동으로 차단되지 않는다는 점을 명심하시고 사용하시기 바랍니다.

 

 
728x90
반응형
  • 철이 2015.09.27 09:31 댓글주소 수정/삭제 댓글쓰기

    잘 봤습니다 벌새님.
    저도 당연하게 dll 파일도 한 번 지정하면 경로 구분 안하고 파일값으로 진단/삭제가 가능한걸로 알고 있었는데.. 흠..

    그리고 악성으로 분류를 하면서도 안잡는게 미스테리군요.
    정확한 이유는 연휴 지나고 안랩에 문의를 해보고싶네요.

  • kis2016 2015.11.22 13:26 댓글주소 수정/삭제 댓글쓰기

    제가 해킨토시 설치를 위해 www.utorrent.com에서 토렌트를 다운받은후 설치를 하였습니다 갑자기 카스퍼스키 인터넷 시큐리티2016에서 위험 항목이 발견됬다고해서 "22.11.2015 12.27.40 애드웨어가 탐지되었습니다. C:\Users\name\AppData\Local\Temp\HYD9549.tmp.1448162546\HTA\3rdparty\OCSetupHlp.dll 개체: C:\Users\name\AppData\Local\Temp\HYD9549.tmp.1448162546\HTA\3rdparty\OCSetupHlp.dll 개체 이름: not-a-virus:AdWare.Win32.OpenCandy.ap 애플리케이션: Rec Plugin p104 애플리케이션 경로: C:\Users\name\AppData\Local\Temp\HYD9549.tmp.1448162546\HTA\3rdparty\OCSetupHlp.dll" 이렇게 떠서 놀라서 카스퍼스키에서 격리 저장소 가서 파일을 영구 삭제하고 유토렌트도 삭제를 했습니다. 의문점인게 OCSetupHlp.dll 파일을 따로 카스퍼스키로 검사하면 안전한 항목이라고 합니다. utorrent를 제어판에서 삭제하면 깔끔히 삭제가 될걸까요? 카스퍼스키로 위험항목이라고 하는걸 다 삭제했습니다(OCSetupHlp.dll,utorrentie.exe) 도와주세요

    • 스팸 처리되어서 이제야 확인했습니다.ㅠㅠ

      기본적으로 uTorrent 프로그램은 제휴 프로그램이 설치 과정에서 제시되는 구조이며, 이런 제휴 프로그램을 표시하기 위해 토렌트 설치시 관련 파일을 임시 폴더에 생성할 수 있습니다.

      이런 부분에 대해 차단하므로 실제 광고 프로그램이 설치된 것은 아니지만 토렌트 프로그램 설치시 위험 항목에 표시될 수 있습니다.

  • kis2016 2015.12.16 17:30 댓글주소 수정/삭제 댓글쓰기

    그러면 카스퍼스키 인터넷 시큐리티2016으로 OCSetupHlp.dll and OCcom.dll 두항목을 아예 삭제했는데 안전한건가요? 실제로 바이러스인가요? 아니면 그냥 애드웨어라 처리하는것인가요? 제가 opencandy 메일로 "Hello I installed utorrent in utorrent's official site (www.utorrent.com), When I install utorrent the kaspersky internet security in my computer says it's an adware virus. The adware was the opencandy(OCSetupHlp.dll and OCcom.dll). I deleted those two files with my kaspersky internet security. So is this program is safe? I'm so fuckin' mad. Please help me." 이렇게 보냈습니다

    • 여기에서 언급하는 DLL 파일은 OpenCandy 광고 네트워크를 통해 추가적인 제휴(광고 등) 프로그램을 받아오는 기능을 수행할 것으로 알고 있습니다.