Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1 © Copyright 2014 EMC Corporation. All rights reserved.
지능형 지속 위협! 대응 가능한가? 오상언 차장 안랩
2 © Copyright 2014 EMC Corporation. All rights reserved.
Incidents
2009. 7•7 DDoS
2011. 개인정보 유출
2011. 금융기관 해킹 사고
2011. 3•4 DDoS
2012. E방송 개인정보 유출
2013. 3•20 전산망 마비
2013. 6•25 DDoS
2012. J언론 해킹사고
3 © Copyright 2014 EMC Corporation. All rights reserved.
APT 공격 프로세스
운영 Layer
네트워크 Layer 엔드포인트(서버 & 클라이언트 PC)
악성코드 다운로드 2
악성코드 모듈 업데이트 4
내부 DB 접근 5
공격자 기업 내부
Command & Control
신종 악성코드 감염 3
데이터 유출 6
악성코드
유포 1
4 © Copyright 2014 EMC Corporation. All rights reserved.
Malware 대응 모범 사례? 한계?
보안 모니터링
온라인 멀티 AV 엔진 서비스
온라인 샌드박스 분석 서비스
악성코드 제작자
잠복시켜 놓은
악성코드의 노출 확인
VM VM
VM VM
VM VM
VM VM
OS OS
OS OS
분석 대상 파일을 최대한 많이 확보할 수 있는 방법은?
상시 감시 중인 해커에게 노출되지 않고 샘플을 분석하는 방법은?
전문적인 악성코드 분석 툴 및 노하우를 확보할 수 있는 방법은?
24x7x365 실시간으로 위협을 감지하고 분석할 수 있는 방법은?
의심 파일 접수
다운로드 파일 추출
• 악성코드 모듈 교체 • PC 포맷과 같은 명령 전달
자체 동적 분석 인프라 구축
5 © Copyright 2014 EMC Corporation. All rights reserved.
APT 솔루션 포지션
Network Forensic
Secure Web & Email gateway
Connection Analysis
Advanced Malware
Protection
AV
∙ TrusWatcher(MDS) ∙ FireEye ∙ Lastline
∙ Trend Micro ∙ Symantec ∙ McAfee
∙ Cisco Ironport ∙ Blue Coat ∙ Websense
∙ Damballa ∙ NorseCorp ∙ Threatstop
∙ RSA NetWitness (SA) ∙ Solera
FW/IPS/UTM ∙ Palo Alto Networks ∙ Check Point ∙ Fortinet
Malware Analysis
∙ ValidEdge (McAfee) ∙ Norman ∙ GFI sandbox
packet
file
endpoint network
Network Forensic
Malware Analysis
분석
대상
수집 영역
Connection Analysis
FW IPS
UTM
SWG / SEG
Advanced Malware
Protection
AV
관련 제품 영역
6 © Copyright 2014 EMC Corporation. All rights reserved.
APT! What? How? Do?
Collection 유입경로(HTTP, FTP, MAIL, SMB, HTTPS, USB, ETC . . . . .)
PE, Non-PE
Analysis Behavior Analysis, Contents Analysis, Anti-VM Intelligence, False Positive
Monitoring Visibility
Response Disk Format vs. Malware Remediation/Delete
7 © Copyright 2014 EMC Corporation. All rights reserved.
Collection
FTP E-mail Messenger Web PE File
Non-PE File
8 © Copyright 2014 EMC Corporation. All rights reserved.
Analysis
알려지지 않은 파일 (Unknown)
정상 (Known Normal)
악성 (Known Malicious)
위협 (Critical, High)
정상
잠재적인 위협 (Suspicious)
Files
시그니처 기반 탐지 행위기반탐지/DICA
평판기반탐지
File Process System Network Registry
9 © Copyright 2014 EMC Corporation. All rights reserved.
Analysis AhnLab TrusWatcher 경쟁사
Snapshot B (파일 실행 후)
Snapshot A (파일 실행 전)
Multi-dimensional Dynamic Analysis
파일
네트워크
레지스트리
프로세스
특정 레지스트리 변화
특정 파일 /프로세스 변화
특정 네트워크 연결 변화
정상
정상
정상
악성
악성
악성
or
or
or
Difference or Notification-based Behavior Analysis
Infected State (연관 행위 종료 후)
파일
네트워크
레지스트리
프로세스
클라우드 탐지
시그니처 탐지 평판 기반 탐지
행위 기반 탐지
연관 관계 분석 URL/IP 탐지
real-time hooking
Clean State (파일 실행 전)
10 © Copyright 2014 EMC Corporation. All rights reserved.
Analysis
동적 지능형 콘텐트 분석 상세
정상 파일 Exploit 파일
winword.exe winword.exe
DLL #1
DLL #2
DLL #3
DLL #1
DLL #2
DLL #3
Heap
ShellCode
EIP EIP
Create Heap
Exploit!!!
Exploit 파일 (DICA 동작)
winword.exe
DLL #1
DLL #2
DLL #3
Heap
ShellCode
EIP
Exploit!!!
DETECT!!
Debug thread
11 © Copyright 2014 EMC Corporation. All rights reserved.
Analysis
파일 유입
가상 머신 환경
File DNA 분석 엔진
동적 콘텐트 분석 엔진
동적 행위 분석 엔진 known
malware filtering
파일 샘플 evasion 악성코드 탐지
unknown malware filtering
정적 분석 level Evasion 분석
동적 분석 level Evasion 분석
파일 시스템
Virtual 하드웨어
프로세서 인스트럭션
메모리 레지스트리 키 & 값
가상머신 라이선스 key
실행중인 프로세스
string 기반 패킹 탐지
패턴 기반 패킹 탐지
phase I. phase II.
압축 (compression)
패킹 (packing)
가상머신/샌드박스 우회
(anti-VM, anti-sandbox)
압축 포맷 분석 및 해제
Compression, Packing, Anti-VM, Anti-Sandbox 대응
12 © Copyright 2014 EMC Corporation. All rights reserved.
Monitoring Critical (신종/변종 악성코드)
Level 10
Level 9
Level 8
High (알려진 악성코드)
Level 7
Level 6
Level 5
Level 4
Low (의심스러운 행위 파일)
Level 3
Level 2
Level 1
Total 218,526
Critical 11,896
High 170,004
Low 20,952
Normal 15,674
13 © Copyright 2014 EMC Corporation. All rights reserved.
Response
경쟁사 AhnLab TrusWatcher
Endpoint Layer
악성코드 삭제
Network Layer
악성코드 진단
파일 수집
Network Layer
파일 수집
악성코드 진단
자동 or 수동
Endpoint Layer 2차 대응 지연 -. 실질적인 조치 불가 -. AV 실행? -. 수동삭제? -. PC 포맷?
1차 대응 지연 -. PC 사용자 파악?
14 © Copyright 2014 EMC Corporation. All rights reserved.
Response
TrusAnalyzer
TrusWatcher Controller
2
3
TrusWatcher ZPX 1
4
5
TrusWatcher Agent
파일 추출 및 분석 시작
1
PC내 파일 다운로드
2
분석 완료 및 악성 판정
4
분석 소요 시간 대응 소요 시간
기본 치료 기능
실행 보류 기능 execution holding
잠재 악성코드 실행 차단
악성코드 실행 → 악성 행위 발생 가능
삭제 명령 전달
다운로드된 파일 실행
5 3
정상 판정 실행 허용
악성 판정 실행 홀딩 유지 Execution Holding
동작
15 © Copyright 2014 EMC Corporation. All rights reserved.
Response
Network Layer
Endpoint Layer
Encrypted traffic in the Network Layer: Unable to collect or analyze file
S/MIME, PGP SSL/TLS SSH/SFTP Attacker’s
Encryption protocol
Agent in the Endpoint Layer:
Extract Collect file Upload file to TW Analyze
Encrypted traffic/ session
Attacker’s Client Program
Mail Client SSH SFTP
Web browser
16 © Copyright 2014 EMC Corporation. All rights reserved.
APT System + Security Systems Network
End Point
Unknown Malware detection/analysis info
(IP, Protocol, Port, File, MD5…)
FW, Switch deny log info
IDS, IPS detection info (sig-based detection, raw data)
Network Packet analysis info
Endpoint detection/analysis info (AV, DLP….)
Real Time Monitoring
Alert
Defense
Black/White
DB Mgr
17 © Copyright 2014 EMC Corporation. All rights reserved.
APT System Expansion
Advanced Malware Defense System
AhnLab TrusWatcher
Office Web/Mail… Network
Connection Layer
Cloud / Web Storage
Update Server
Messenger …