『Next Generation HEZEK 싞종 및 위,변조된 유해프로그램 탐지/분석/차단시스템

Behavioral Based Malware Detection Technology

3.1 HEZEK-NSD 소개 및 특징

제품 소개

HEZEK-NSD

가상화 (Virtualization) 분석 기술(네트워크, 패킷 ) Agent 기술

다수의 가상머신을 이용한

파일 분석

패킷 수집/ 분류 / 조합 행위 기반 agent

파일 생성/ 시그니처 분석 시그니처 엔진

Dropper, C&C 접근 탐지 지능적 분석

3. 제품 소개

3.1 HEZEK-NSD 소개 및 특징

Virtualization based Technique ( Cloud Computing)

Packet : Patten, Signature Scanning Signature, Behavioral based check

H/W

Dual Core

Quad Core

Hexa Core

Virtualization

Server Virtualization

Application Virtualization

Network Technology

F/W : IP Block

IDS : Packet Patten Inspection

IPS : Packet Pattern Inspection, IP Block

Virus-Wall : Signature 기반

DDOS : External Packet, IP, Flow based Check

PC Agent Technology

PC 방화벽

Windows Patches : Microsoft Vulnerabilities Patches

PMS : Patch Management

Vaccine : Signature based 체크 및 치료

Behavior based Agent : Malware 탐지 ,차단

HEZEK-NSD

3.1 HEZEK-NSD의 소개 및 특징

3. 제품 소개

Bot virus인 경우 잘 알려진 포트(TCP: 80 등)로 통신하기 때문에 방화벽으로 접근 통제하기가 불가능함.

기존 보안 망 체계

IDS/IPS인 경우 공격형식이 지능화, 다양화되고 있는 특성에 맞게 주기적인 패턴갱신을 하고 있지만, 신규 형태의 패턴에는 역부족 3~4천개의 적은 공격패턴에 대응.

너무나 많은 변종의 악성코드에 대하여 개개의 패턴비교방식으로 모든 virus를 검출하기가 어려움.

주로 외부에 있는 좀비PC 들에 의해서 내부의 자원을 공격하며, 시스템 과부하 등의 문제를 일으키고 동작 불능 등의 상태를 만드는 DDoS 공격에 대해서 오로지 방어만을 하기 위한 장비.

외부 또는 내부의 좀비PC들을 알지 못하기 때문에 근본적인 대책이 안되고, 다변화된 공격에 대체 하기 힘듬. 외부 또는 내부의 좀비PC들은 C&C서버의 명령에 의해서 자신의 PC 자체를 사용불능의 상태로 만들기도 합니다.

DDoS 방어 장비

HTTP(80포트), FTP(21포트), pop3, SMTP,IMAP 통신규약을 이용한 파일 유입/유출 탐지.

제안 장비(NSD)

변종/신종 악성코드를 VM을 통하여 검출할수 있음. Dropper, C&C 주소 자동탐지. 50개의 행위 분석을 통한 악성코드 탐지

행위기반탐지기술에 기초하여 VM상에서 Virus파일을 직접 실행시켜 악성행위를 100%로 검출해냄.

기존의 악성공격의 방어가 아닌, 좀비PC의 원인이 되는 파일을 직접 수집,관리 하며 이는 가상화 기술을 통해 직접 설치,분석 합니다. 설치된 후 비정상 파일은 여러 가지 복합적인 행동을 하는데, 이 행동들은 HEZEK에서 정밀하게 짜여진 시나리오에 의해 검출/차단이 됩니다

감염된 좀비PC List 는 스크린에 Display 되어지며, 외부의 유포지 IP와 해당 파일 또한 확인을 할 수 있습니다. 감염된 PC는 Agent 기술을 이용하여 삭제 또는 격리 되어 내부정보 유출과 DDoS 공격을 원천적으로 차단할 수 있습니다.

좀비PC 확산방지 시스템

HTTP, FTP, ㅖㅒㅖㄴㄷㄹㄴㅇㅇㄹㄴㄹㄴㅇㄹㄴㄹㄴㄹㅇPOP3, SMTP, IMAP 등

통신규약을 이용하여

망 상에서 전송되는 파일들을 수집

패킷표본화 (Packet Sampling)

IP/포트/통신규약에 따라 망 상의 모든

패킷들에 대한 통계자료를 실시간 적으로

생성하며 트래픽을 증가시키는 말단 의

PC 식별, 대책 수립

망 통계 (Network Statistics)

망상에서 전송되는 악성코드 프로그램

검출/차단

침입검출 및 차단 (IPS)

VM에 설치된 윈도우를 채널

단위로 관리 하며 설정된 개수만큼의

채널들을 안전하게 유지관리

가상화기술 (Virtualization)

3.3 HEZEK-NSD의 기반기술

3. 제품 소개

HEZEK-NSD 웹매니져에 의한 시스템관리

망 상에서 전송되는 파일들을 수집하여

VM에 설치된 시그니처을 이용하여

악성여부를 검사

시그니처 분석 (Signiture Analysis)

망 상에서 전송되는 파일들을 수집하여

직접 VM에서 실행시켜 보면서

악성여부를 판단

행위기반분석 (Taint Analysis)

3.4 HEZEK의 차별성

3. 제품 소개

3.1 HEZEK-NSD의 인증

3.2 HEZEK-NSD의 주요 특징

제품비교(HEZEK-NSD vs. BotWall)

3. 제품 소개

비교항목 HEZEK-NSD FireEye-BotWall

검출악성코드 종류 Trojan/Spyware등 모든 카테고리의 악성코드탐지 botnet에 관렦된 DB맊 보유하고 있음

비 실행 파일 분석 EXE, Dll 외 RAR, Zip, Doc,…등과 같이 파일수집목록에 기록된 확장자형식의

파일에 관하여 수집하고 악성여부를 검출하며 근거를 기록함. Exe와 Dll에 대해서맊 분석가능

악성코드분석엔짂 OS 변경분석, 악성코드 Hex String비교, 정적 휴리스틱 시그니처 비교,

동적 휴리스틱 시그니처 비교 OS 변경분석

악성코드관렦 시그니처 생성, Update VM이 검증한 각종 악성코드에 해당한 시그니처 생성,

Pre-filtering엔진에 시그니처Update X

악성코드관렦 동적 휴리스틱

시그니처 수동 편집/관리 오탐이 최소화되도록 시나리오편집가능 X

악성코드 중복검증 이미 젂에 VM에서 검사한 파일은 중복수집하지 않으며 검사도 반복하지 않음 △

각종 Attack 탐지/분석 ○ △

각종 Attack관렦 시그니처 생성, Update VM에서 Attack패킷을 검증하고 악성인 경우 시그니쳐로 자동등록,

필요에 따라 수동적으로 갱싞 및 추가가능 △

각종 Attack관렦 Rule 수동편집/관리 ○ X

악성packet을 발송하는 웎천지에

rst packet을 발송하여 젂송차단 ○ X

Emulator 성능 장비의 성능에 따라 임의로 설정가능 (기본 12VMs) 12 VMs on each appliances

탐지 프로토콜 http (Download/Upload), ftp (Download), IMAP, POP3, SMTP http (Download)

Customizing 한 장비에서 시스템확장가능, 각각의 장비로 시스템을 분할하여 구성이 가능 X

비교항목 HEZEK-NSD FireEye-BotWall

제 조 국 국내 외국

커스터마이징 가능 어려움

프로토콜 지웎 HTTP, FTP, IMAP, POP3, SMTP HTTP

상대적 가격정책 중저가 정책 고가 정책

분석 형태 가상 머싞 + 행위기반 + 시그너처 분석 가상 머싞 + 행위기반 + 시그너처 분석

방향성 in-Bound (탐지, 차단) / Out-Bound (탐지) in-Bound (탐지)

기존 백싞 연계 연계 가능 지웎 안함

탐지 계통 봇 탐지(좀비PC) 봇 탐지(좀비PC)

장비 구성 단일 장비 구성 단일 장비 구성

차단 및 치료 기능 바이러스, 봇 차단, 유해파일 차단 없음

탐지 방식 실행파일 및 모든 파일 탐지 및 차단 (128개 이상 지웎) 실행파일 탐지

탐지 기법 가상 머싞 기반 악성행위 검출 가상 머싞 기반 악성행위 검출

구성 형태 네트워크 기반 + 에이젂트 네트워크 기반

에이젂트 역할 악성 봇 치료 (삭제 및 격리) 없음

에이젂트 설치 자동 설치 없음

제품 목적 좀비PC 탐지 및 차단 시스템 좀비PC 탐지 시스템

경보 기능 자체 알람 기능 지웎 없음

제품비교(HEZEK-NSD vs. BotWall)

3. 제품 소개