반응형
보안에 관심이 있으신 분들은 한 번 정도는 자신이 사용하는 보안제품 업체에 악성코드를 신고해 본 경험이 있을 것입니다.
그런데, 자신이 봐서는 분명히 악성코드인데 해당 업체에서는 정상이라는 답변이 온다거나 하는 경우 개인적으로는 가장 광범위하게 예상할 수 있는 부분이 업체마다의 진단 정책에 따른 차이라고 애써 위로를 합니다.
하지만 다음과 같은 이유로 실제로는 악성코드이지만 보안업체의 부실한 답변으로 인해 피해를 볼 수도 있다는 점에 대해 알아보도록 하겠습니다.
해외에서 제작된 가짜 백신 중 Antivirus 1 이라는 프로그램이 있습니다. 해당 악성코드의 출현시기는 일정 시간이 지났지만, 다양한 변종으로 인하여 실제 보안제품에서 정확하게 진단하기 위해서는 꾸준한 모니터링과 사용자들의 샘플 신고가 필요해 보입니다.
해당 배포 사이트에서 제공하는 설치 파일을 다운로드하여 바이러스 토탈(VirusTotal)을 통해 진단 여부를 확인해 보면 위와 같이 일부 보안 제품에서 진단하는 것을 확인할 수 있습니다.(해당 샘플은 4월 중하순경에 배포된 것으로 추정됩니다.)
이 샘플을 안철수연구소(AhnLab)에 샘플 신고를 하고 연구소측에서 분석을 하여 최종적으로 답변을 받은 내용은 정상이라는 것입니다.
이제 보안업체에서 정상이라고 답변을 받은 제품에 대해 실제 설치를 진행하여 보겠습니다.
설치 과정은 일반적인 프로그램처럼 위장하고 있는 것을 확인할 수 있습니다.
실제 설치된 후 생성된 파일 중 해당 제품의 실행 파일을 바이러스 토탈에서 검사를 해보면 안철수연구소 제품에서 Win-Trojan/Fraudload.2575872 진단명으로 정식 진단을 하고 있는 것을 확인할 수 있었습니다.
실제 제가 신고한 샘플로 인해 해당 진단명이 생성된 것이 아닌 이미 이전에 해당 샘플에 대한 DB가 추가된 상태로 보이며, 이런 경우 안철수연구소에서는 샘플 신고에 대한 부실한 답변으로 인하여 사용자에게 혼동을 주고 있습니다.
만약 샘플을 정상적으로 분석을 하였다면 생성 파일이 이미 자사 제품에서 진단을 하고 있기에 이 부분에 대해 추가적인 정보를 제공해 주어야 하지 않을까 생각됩니다.
비록 설치 파일 단위에서는 업체 정책상 진단에 추가되지 않을 수 있겠지만, 신고자에게 전달하는 답변에서는 단순히 정상이라는 답변을 통해 오해를 야기할 수 있다고 봅니다.
특히 악성코드가 설치 파일은 적은 용량으로 구성되어 있고, 실제 설치 단계에서 특정 서버를 통해 다운로드 되는 방식으로 구성된 샘플의 경우 안철수연구소의 경우 설치 파일에 대해 진단을 하지 않는 경우가 많아 보입니다.
위와 같이 설치 파일을 통해 생성된 파일은 악성코드이지만 설치 파일을 업체의 어떤 이유로 인해 진단하지 않을 경우 사용자는 아무런 문제가 없다고 오해를 할 수 있으며, 만약 실제 생성된 파일조차도 진단하지 못하였다면 해당 제품에 대해 사용자는 신뢰를 하지 않으리라 볼 것입니다.
샘플 신고를 하면서 위와 같이 일부 설치 파일에 대해서는 정상이라고 할지라도 실제 설치 후 생성된 파일은 악성코드가 존재할 수 있으므로 주의가 요구됩니다.
그런데, 자신이 봐서는 분명히 악성코드인데 해당 업체에서는 정상이라는 답변이 온다거나 하는 경우 개인적으로는 가장 광범위하게 예상할 수 있는 부분이 업체마다의 진단 정책에 따른 차이라고 애써 위로를 합니다.
하지만 다음과 같은 이유로 실제로는 악성코드이지만 보안업체의 부실한 답변으로 인해 피해를 볼 수도 있다는 점에 대해 알아보도록 하겠습니다.
해외에서 제작된 가짜 백신 중 Antivirus 1 이라는 프로그램이 있습니다. 해당 악성코드의 출현시기는 일정 시간이 지났지만, 다양한 변종으로 인하여 실제 보안제품에서 정확하게 진단하기 위해서는 꾸준한 모니터링과 사용자들의 샘플 신고가 필요해 보입니다.
MD5 : CAA5E72F991ACBC69512B6E7D3D55C84
해당 배포 사이트에서 제공하는 설치 파일을 다운로드하여 바이러스 토탈(VirusTotal)을 통해 진단 여부를 확인해 보면 위와 같이 일부 보안 제품에서 진단하는 것을 확인할 수 있습니다.(해당 샘플은 4월 중하순경에 배포된 것으로 추정됩니다.)
이 샘플을 안철수연구소(AhnLab)에 샘플 신고를 하고 연구소측에서 분석을 하여 최종적으로 답변을 받은 내용은 정상이라는 것입니다.
이제 보안업체에서 정상이라고 답변을 받은 제품에 대해 실제 설치를 진행하여 보겠습니다.
설치 과정은 일반적인 프로그램처럼 위장하고 있는 것을 확인할 수 있습니다.
MD5 : 08b43cd937f9b4b804fd8dca26dfc0cf
실제 설치된 후 생성된 파일 중 해당 제품의 실행 파일을 바이러스 토탈에서 검사를 해보면 안철수연구소 제품에서 Win-Trojan/Fraudload.2575872 진단명으로 정식 진단을 하고 있는 것을 확인할 수 있었습니다.
실제 제가 신고한 샘플로 인해 해당 진단명이 생성된 것이 아닌 이미 이전에 해당 샘플에 대한 DB가 추가된 상태로 보이며, 이런 경우 안철수연구소에서는 샘플 신고에 대한 부실한 답변으로 인하여 사용자에게 혼동을 주고 있습니다.
만약 샘플을 정상적으로 분석을 하였다면 생성 파일이 이미 자사 제품에서 진단을 하고 있기에 이 부분에 대해 추가적인 정보를 제공해 주어야 하지 않을까 생각됩니다.
비록 설치 파일 단위에서는 업체 정책상 진단에 추가되지 않을 수 있겠지만, 신고자에게 전달하는 답변에서는 단순히 정상이라는 답변을 통해 오해를 야기할 수 있다고 봅니다.
특히 악성코드가 설치 파일은 적은 용량으로 구성되어 있고, 실제 설치 단계에서 특정 서버를 통해 다운로드 되는 방식으로 구성된 샘플의 경우 안철수연구소의 경우 설치 파일에 대해 진단을 하지 않는 경우가 많아 보입니다.
위와 같이 설치 파일을 통해 생성된 파일은 악성코드이지만 설치 파일을 업체의 어떤 이유로 인해 진단하지 않을 경우 사용자는 아무런 문제가 없다고 오해를 할 수 있으며, 만약 실제 생성된 파일조차도 진단하지 못하였다면 해당 제품에 대해 사용자는 신뢰를 하지 않으리라 볼 것입니다.
샘플 신고를 하면서 위와 같이 일부 설치 파일에 대해서는 정상이라고 할지라도 실제 설치 후 생성된 파일은 악성코드가 존재할 수 있으므로 주의가 요구됩니다.
728x90
반응형