본문 바로가기

벌새::Security

국내 보안제품 엔진의 굴욕 - Trojan.Win32.Obfuscated

반응형
1. <Daum 영어 사전> obfuscate 의미
2. 프로그래밍 의미
 - 프로그래밍을 통한 코드가 외부에서 알아보기 어렵게 만들어진 경우


악성코드 진단명에 Trojan.Win32.Obfuscated (Kaspersky 기준)으로 진단되는 악성코드가 있습니다.

사전적인 의미를 보면 타인이 해당 코드를 분석하기 어렵게 만들어 놓았다는 의미 정도로 해석될 수 있을 것 같습니다.

실제 해당 악성코드의 경우 컴퓨터를 감염시키고 추가적인 악성코드를 다운로드하여 악의적인 행동을 하는 등의 역할을 한다고 밝히고 있습니다.

각 보안제품의 엔진은 진단 방식 등에서 많은 차이가 존재할 수 있고, 악성코드를 분류하는 방식도 업체마다 제각각입니다.

최근 국내 보안제품에서 업데이트 되는 진단명을 유심하게 살펴보면 재미(?)있는 부분이 있습니다.

012


하우리, 안철수 연구소, 잉카(nProtect) 업체의 Trojan.Win32.Obfuscated 악성코드에 대한 업데이트 내역입니다.

하루에도 수백개씩에 이르는 해당 악성코드를 잘게잘게 부수어 업데이트를 하면서 최신 악성코드를 진단하려고 노력하고 있습니다.

개인적으로 해당 악성코드의 변종을 여러 차례 수집하여 바이러스 토탈을 통해 초기 검사를 하였을 경우, 상당수의 해외 유명 보안제품이 진단하지 못할 정도로 변종의 보안제품 우회 능력이 우수했던 것으로도 기억에 남습니다.

하지만 세계 최고 중의 보안제품으로 칭찬받는 Kaspersky 업데이트 항목을 통해 Trojan.Win32.Obfuscated 변종의 출현 비율을 살펴보도록 하겠습니다.

Kaspersky의 경우 평균적으로 하루에 해당 악성코드에 대한 변종을 추가하는 진단명은 5개 수준이고 많아도 10여개 이상을 넘어서는 경우는 없는 것으로 보입니다.

여기서 느낄 수 있는 점은 바로 보안제품 엔진의 힘이 아닐까 생각됩니다.

즉, Kaspersky의 경우 Trojan-Downloader.Win32.Obfuscated.epo 라는 진단명 하나로 Win-Trojan/Obfuscated.2179584.B Win-Trojan/Obfuscated.473600.DM Win-Trojan/Obfuscated.482816.ED Win-Trojan/Obfuscated.520192.DS Win-Trojan/Obfuscated.406528.ED Win-Trojan/Obfuscated.929792.C Win-Trojan/Obfuscated.465408.EQ Win-Trojan/Obfuscated.605696.AI Win-Trojan/Obfuscated.341504.BH Win-Trojan/Obfuscated.314368.CP Win-Trojan/Obfuscated.503808.EP Win-Trojan/Obfuscated.579584.BN 등의 악성코드를 진단할 수 있다고 생각할 수 있습니다.(해당 예를 가상적으로 든 예임을 밝힙니다.)

해외 보안제품도 하루에 출현하는 수만개 이상의 악성코드 중 상당수에 대한 업데이트가 이루어지고 있으며, 국내 보안제품 역시 하루에 수천개 이상의 새로운 악성코드를 진단하고 있습니다.

하지만 단순히 진단명 기준으로 따져서는 아무런 의미가 없다는 것이 Kaspersky 엔진을 통한 진단명과 국내 보안제품 엔진에 반영되는 진단명을 보면 확연히 느낄 수 있는 것이 현실인 것 같습니다.

물론 반대의 국내 보안제품이 A라는 진단명으로 다수의 변종을 진단하는 반면 Kaspersky 엔진은 그런 악성코드를 진단하기 위해 여러 개의 진단명으로 진단해야 하는 경우도 종종 있습니다.

전체적인 면에서 볼 때 위와 같은 아쉬운 부분이 너무 눈에 띄는 것을 감안한다면 분명 세계적인 보안제품을 만들기 위해서는 지금의 엔진으로는 다가오는 악성코드의 물결에서 살아남기 어렵지 않을까 생각됩니다.
728x90
반응형
  • 이번에 예로 들으신 일부 변종에 대해 하나의 진단명으로 진단이 되는 건 휴리스틱에 의한 감염의심진단이라기 봐야할까요? 아니면 변종들 사이의 공통의 패턴에 대응하는 기본 시그니처기법이라 생각해야할까요?
    다른 제품에서도 한개의 진단명으로 여러 변종을 잡는 경우가 많던데 개념적으로 어떻게 봐야할지 헷갈리네요.
    프로그래밍에 문외한이다보니 쉽지가 않습니다. ~_~

    • 제 생각에는 카브의 엔진이 그만큼 변종에 강하다고 봐야 할 것 같습니다.

      안랩은 특정 샘플을 중심으로 분석한다고 본다면, 카브는 특정 샘플에서 파생되는 부분까지 고려한 업데이트가 아닐까 생각됩니다.

  • 엔진의 검색방식의 차이가 업데이트량의 차이로 나타나는군요..
    V3와 하우리 업데이트를 보면 매일 같은 사이즈의 파일을 쪼개어서 업데이트하더라구요..
    그에 비에 카스퍼스키나 BitDefender 같은 백신은 단 하나의 진단명으로 다수의 변종을 검사하는 것으로 보아 엔진의 힘은 대단한 것 같습니다.
    (직원 부려먹기를 줄일 수 있겠군요..)

    • 안랩의 경우 동일한 샘플에 대해서도 V3와 스파이제로가 서로 다른 진단명으로 진단하는 이중적인 진단도 하고 있기에 수정될 부분은 분명히 있다고 생각합니다.

  • 잘 읽었습니다 ~

  • 안철수 제품중에서도 같은 바이러스인데도 다른 진단명으로 진단이 되는것들이 있습니다. 수정이 필요할 듯으로 보입니다.

  • 철이다 2008.12.02 13:09 댓글주소 수정/삭제 댓글쓰기

    벌새님 바제2에 철이다 입니다.
    우연히 obfuscated 를 검색하다 클릭해서 읽었는데 벌새님이 보였네요
    글 잘읽었습니다.^^