[표준제안서]Trus watcher

AhnLabTrusWatcher

표준제안서

APT 공격 대응 , 이제는 TrusWatcher 다 !

Contents

01

02

03

04

제안 개요

TrusWatcher 소개

TrusWatcher 특징

제품 구성 및 사양

1. 제안 개요

© AhnLab, Inc. All rights reserved. 4

보안 위협 트렌드 변화 (1/2)

인터넷 인프라가 지속적으로 확대됨에 따라 인터넷을 통한 악성코드 유입이 급증하고 있습니다 .특히 최근의 악성코드는 보안 솔루션의 탐지를 회피하기 위해 더욱 교묘한 기술을 사용하고 있습니다 .

전자서명을 도용한 악성코드 증가

산업 · 국가 기간 시설 공격 시도 증가

비실행형 악성코드 활용 (non-PE exploit)

악성코드 자체 보호 기술 발전

사회공학 기법 , 고도의 심리전으로 발전


보안 위협 트렌드 변화 (2/2)

공격자는 다양한 SNS 서비스를 통해 공격 대상을 파악하거나 SNS 자체를 공격 경로로 이용하고 있습니다 .특히 비실행 (non-PE) 파일인 문서 파일의 취약점을 이용한 공격이 증가하고 있습니다 .

출처 : Analysis Report of Targeted Cyber Attack and Response( 일본 IPA, 2012)

보안 위협의 비중

Adobe Reader

MS Word

Flash Player

LibTIFF

Internet Explorer

Excel

47%

19%

17%

8%

6%

3%


N 사 전산망 마비H 사 해킹

H 사 홈페이지 해킹입사지원자 8 천여 명 개인정보 유출

R 사 해킹 1 만 2 천 명 개인정보 유출

보안 사고 사례 (1/3)

점차 지능화 대규모화되는 보안 사고에 의해 피해 기관은∙ 경제적 및 인지도 측면에서 치명적인 손상을 입고 있습니다 .



SNS 서비스 및 문서 파일 (non-PE) 을 이용한 악성코드 감염 사례

오사마 빈 라덴 사망을 악용한 페이스북 트위터로 유포된 악성코드

MS 워드 제로데이 취약점 이용 악성코드 아래아한글 제로데이 취약점 이용 악성코드



지능화된 악성코드의 장기간 은닉에 의한 피해 사례

Operation Aurora (2010. 1)

• 구글에서 중국과 연계된 보안 위협 발생• 구글 및 20 여 개 업체가 관련된 보안 사고

Stuxnet (2010. 7)

• 이란 원전 SCADA 시스템을 대상으로 한 타깃 공격• 발전소 작동 중단 피해

EMC RSA 침해 사고 (2011. 3)

• EMC RSA 보안사업본부에서 침해 사고 발생• 2 팩터 인증 관련 정보 유출

SONY PSN 침해 사고 (2011. 4)

• 가입자 7700 만 명 신용 정보 유출• 240 억 달러 이상 피해 예상


APT 정의APT(Advanced Persistent Threat) 란 , 다양한 IT 기술과 공격 방식을 기반으로 여러 보안 위협을 생산해 특정 대상에게 지속적으로 공격을가하는 일련의 행위를 의미합니다 .

Traditional보안 위협

단일한 악성코드

감염 PC 에 국한된 피해

불특정 다수 공격

Advanced보안 위협

• 특정 공격 대상

• 모듈화된 악성코드• 부가 기능 업데이트

• 장기간에 걸친 은닉• 2 차 전이 공격

Targeted Threat

Advanced

Persistent


APT 대응 중요성 - 악성코드 에코시스템 활성화 · 체계화 (1/2)

체계적인 악성코드 공급 과정을 갖춘 ‘악성코드 에코시스템’ 이 활성화됨에 따라 ,명확한 목적과 자금력이 있는 배후 세력을 보유한 조직에 의해 악성코드가 제작 · 유포되고 있습니다 .

악성코드에코시스템

취약점 분석가

자금세탁

공격 도구

개발자

자금운반책 해커

Botnet 관리자

신용카드 도용자

군사적 목적

경제적 목적

정치적 목적

핵티비스트 단체

조직화된 범죄 단체

국가 정보 기관


출처 : Blue Coat Malnet Dashboard (Shnakule malnet)

APT 대응 중요성 - 악성코드 에코시스템 활성화 · 체계화 (2/2)

상용 악성코드 유포 서비스 인프라인 malnet(malware delivery network) 이 발달하면서수십 ~ 수만 대의 호스트로 구성된 500 여 개의 malnet 이 운영되고 있습니다 .

악성 사이트

정상 사이트

미판정 사이트

Malnet 진입 경로

Series1

검색 엔진 및 포털 사이트

E-Mail

미분류 사이트

SNS 사이트

음란 사이트


APT 대응 중요성 - 기존 보안 솔루션 탐지의 어려움 (1/2)

악성코드 제작자는 멀티 엔진 분석 사이트 및 언더그라운드 테스트 플랫폼 검증을 통하여기존 시그니처 (signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용합니다 .

멀티 엔진통합 분석 사이트(VirusTotal 등 )

시그니처 기반

탐지

탐지 악성코드배제

미탐지 악성코드선별

악성코드제작자

언더그라운드멀웨어

테스트 플랫폼

시그니처 기반보안 솔루션탐지 불가


APT 대응 중요성 - 기존 보안 솔루션 탐지의 어려움 (2/2)

전통적인 보안 솔루션만으로는 고도로 지능화된 APT 를 차단하는 것이 불가능합니다 .

방화벽 (FW)

침입차단시스템 (IPS)

유해 사이트 차단 시스템

차세대 방화벽 (NGFW)

안티바이러스 (AV)

네트워크 접근 통제를통한 악성코드 유입 차단

네트워크 기반 룰을 통한 악성코드 유입 차단

악성 URL 차단을 통한악성코드 유입 차단

애플리케이션 통제를 통한 악성코드 유입 차단

알려진악성코드 탐지

전통적인 보안 솔루션 APT 차단 여부

허용된 주소를 통한악성코드 유입 차단 불가

악성코드 탐지 불가

파일 기반 분석이 필요한악성코드 탐지 불가

허용된 사이트를 통한악성코드 유입 차단 불가

알려지지 않은악성코드 탐지 불가


APT 공격 프로세스 및 대응 방안 (1/2)

APT 공격은 공격자의 목적에 따라 다음과 같은 프로세스로 실행됩니다 .

운영 Layer

네트워크 Layer 엔드포인트 ( 서버 & 클라이언트 PC)

악성코드 다운로드2

악성코드 모듈 업데이트4

내부 DB

접근 5

공격자 기업 내부

Command & Control

신종 악성코드 감염

3

데이터 유출6

악성코드 유포

1


APT 공격 프로세스 및 대응 방안 (2/2)

APT 공격을 탐지 · 대응하기 위해서는 다양한 영역의 보안 기술이 필요합니다 .

C&C 서버를 통한 조정

악성코드 기능업데이트

악성코드감염

인터넷서비스 이용

네트워크어플라이언스 기반 기술

네트워크 + 엔드포인트연계 분석 기술

실시간 Cloud DBLookup 기술

악성코드 분석 노하우+ 자동 분석 시스템

2. TrusWatcher 소개


AhnLab TrusWatcher 소개안랩 트러스와처 (AhnLab TrusWatcher) 는 APT 공격 탐지 및 대응에 특화된 차세대 보안 위협 대응 솔루션입니다 .

APT 공격에 이용되는 악성코드를 정확하게 탐지

감염 의심 호스트를 정확하게 판단 및 신속하게 치료

에이

전트

기반

차단

네트

워크

파일

연계

분석

멀티 엔진 악성코드분석


안랩 악성코드 분석 핵심 기술의 어플라이언스화트러스와처는 20 여 년의 악성코드 분석 노하우와 인프라를 보유하고 있는 안랩시큐리티대응센터 (ASEC) 의 악성코드 분석 핵심 기술이 어플라이언스 형태로 구현된 제품입니다 .

* ASEC(AhnLab Security Emergency response Center) : 안랩 최고의 악성코드 분석가 및 보안 전문가로 구성된 글로벌 대응 조직

수집 샘플

* ASD(AhnLab Smart Defense) : 안랩의 클라우드 기반 악성코드 위협 정보 제공 인프라

분석 결과

ASD 인프라 활용VM 기반 동적 분석 기법리버스엔지니어링 정적 분석 기법 등

ASEC ( 안랩 시큐리티대응센터 )

자동 분석 인프라

전문가 상세 분석

정적 분석

동적 분석

ASD( 안랩 스마트 디펜스 )


Signature-Less기반 탐지

Reputation Feed기반 탐지

Signature기반 탐지

진화하는 악성코드 탐지 전략 – 멀티 엔진 (1/3)

트러스와처는 네트워크로 유입되는 대부분의 알려진 악성코드 및 소수의 알려지지 않은APT 를 탐지하기 위해서 시그니처 (signature) 및 시그니처리스 (signature-less) 기반 방식을 함께 사용합니다 .

알려지지 않은 악성코드탐지 가능성Low High

High Low악성코드 샘플 수집 필요성

유해 사이트탐지 엔진

C&C 트래픽탐지 엔진

DDoS 트래픽탐지 엔진

클라우드 기반악성코드 분석 엔진

행위 기반악성코드 분석 엔진

동적 콘텐츠 기반악성코드 분석 엔진



ASD 엔진을 통해 네트워크 상으로 유입되는 90% 이상의 알려진 악성코드를 효과적으로 탐지하며 , 나머지 10% 의 신종 , 변종 악성코드를 탐지하기 위해 가상 머신 기반의 분석을 수행합니다 .

Signature-Less

기반

탐지

Reputation Feed

기반

탐지

Signature

기반

탐지

행위 기반 분석 엔진

콘텐츠 기반 분석 엔진

로컬 가상 머신

로컬 ASD 엔진




알려지지 않은 악성코드 탐지를 위해 가상 OS 환경에서 복수의 악성코드 분석 엔진을 사용합니다 .

악성코드다차원 행위

분석

행위 기반 분석 엔진

• 행위 분석 기법 사용

• 악성코드를 가상 머신 상에서 실행

• 수행된 행위 결과의 상관 분석 후 악성 / 정상 판정

Exploit분석

동적 콘텐츠 분석 엔진

• 리버스 엔지니어링 기법 사용

• 악성 행위 발생 직전에 프로그램 실행 차단

• MS 오피스 , 아래아한글 , PDF 리더 등 사용

( 최대 20 개 VM)

가상 머신


TrusWatcher APT 대응 프로세스 _1 단계정상적인 네트워크 트래픽을 통해 유입되는 모든 파일을 추출하여 악성코드 분석을 준비합니다 .

FTP Email MessengerWeb 실행형악성코드

비실행형악성코드

AhnLab TrusWatcher


TrusWatcher APT 대응 프로세스 _2 단계멀티 엔진을 통하여 기존에 알려졌거나 알려지지 않은 악성코드를 탐지합니다 .

ASD

XLS Header

/JS

/Filter

1awsag*sda;lskGjawleiqwq023;

SWF(Flash)

PE

PDF Header

SWF(Flash)SWF(Flash)

PE PE

DOC Header

/JBIG2Decode

Vulnerability

Push ebp(shellcode)

PE

실행 파일 (PE) 비실행 파일 (non-PE)

AhnLab TrusWatcher


TrusWatcher APT 대응 프로세스 _3 단계전용 에이전트를 통해 감염이 의심되는 PC 에 대한 자동 · 수동 치료를 수행합니다 .

AhnLab TrusWatcher

Agent


TrusWatcher APT 대응 프로세스 _4 단계USB, 내부 네트워크 등 다양한 경로를 통해 감염된 PC 에서 발생되는 이상 트래픽을 탐지하고 차단합니다 .

AhnLab TrusWatcher


도입 효과불확실한 APT 요소에 대한 가시성을 확보하여 APT 공격에 대한 차별화된 대응 방안을 제시합니다 .

악성 파일 존재 여부 파악 불가

파일 유입 경로파악 불가

파일 행위파악 불가

파일 유입 시점파악 불가

파일 다운로드 PC 현황 파악 불가

악성 파일 존재 여부 실시간 파악

파일 유입 경로실시간 파악

파일 행위실시간 파악

파일 유입 시점실시간 파악

파일 다운로드 PC 현황실시간 파악

신종 악성코드정확한 탐지 · 분석

실시간 차단

APT 공격 피해 최소화감염 의심 PC 대응 · 조치

불확실성 가시성 확보 차별화된 대응

3. TrusWatcher 특징


AhnLab TrusWatcher 주요 특징

• 가상 머신 기반의 여러 악성코드 분석 엔진을 사용해 탐지 신뢰도 향상• 행위 분석 엔진 및 능동적 콘텐츠 분석 엔진 탑재

• MS 오피스 군 , pdf, 한글 (hwp) 등 non-PE 악성코드 탐지에 최적화된 엔진 탑재• 정적 (static) 및 동적 (dynamic) 악성코드 분석 노하우가 반영된 특허 출원 기술 채용

• 악성 파일뿐만 아니라 정상 파일에 대한 판단 기능 탑재• 알려진 정상 파일의 사전 분류를 통한 여타 행위 기반 검사의 오진 한계 극복

• 네트워크 기반 이상 트래픽 분석 및 추출된 파일 분석 연계 분석• 클라우드 기반 ASD 인프라를 통한 실시간 보안 위협 공유

• 전용 에이전트를 통한 즉각적인 악성코드 제거• ‘파일 수집–분석–실시간 모니터링–악성 파일 제 거’의 종합적인 프로세스 확립

행위 기반신종 악성코드 탐지

비실행형 (non-PE)신종 악성코드 탐지

네트워크 파일연계 분석

적극적인대응 기능

오탐지 최소화

• 단일 장비로 웹 , 이메일 , FTP, SMB 등으로 유입되는 악성코드 탐지• 다양한 NIC 옵션 제공 및 다중 회선에 대한 동시 모니터링 가능

관리∙구축비용 효용성


행위

행위

행위

행위

행위

행위행위

행위

행위 기반 신종 악성코드 탐지 (1/3)

안랩 트러스와처의 행위 기반 분석 엔진은 단순히 개별 행위를 기반으로 탐지하는 것이 아니라분석 대상 파일 및 URL/IP 의 위험도 , 평판 정보 및 연관된 파일들의 종합적인 행위를 다차원적으로 분석합니다 .

AhnLab TrusWatcher

행위 간 다차원 분석

행위

클라우드 탐지

시그니처 탐지

평판 기반 탐지

행위 기반 탐지

연관 관계 분석 URL/IP 탐지

VS 경쟁사 솔루션 : 개별 행위 기반 판단

행위

행위

행위

특정 레지스트리

특정 파일

특정 IP

행위

행위

행위

행위 행위행위



안랩 트러스와처의 다차원 분석은 파일 레벨의 클라우드 , 시그니처 , 평판 , 행위 , 파일간 연관 관계 분석 정보 외에 네트워크 레벨의 URL/IP악성 분석 및 평판 분석 정보를 종합적으로 판단하여 악의적인 행위를 보이는 신종 악성코드 탐지율을 극대화하였습니다 .

신종∙변종악성코드실시간

탐지∙대응

악성코드유입 단계

다차원적인 분석으로악성코드를 원천 차단

클라우드 기반 탐지- 최신 클라우드 DB 정보에서 실시간 확인- 시그니처 업데이트 없이 실시간 반영

1

시그니처 기반 탐지- DNA Scan 으로 다양한 변종 진단- 최초 발견 파일에 대해 사전 진단

2

평판 기반 탐지- 안정성 미확인 프로그램 차단- IP 및 Domain 평판 반영

3

URL/IP 탐지

6

연관 관계분석

5

URL, IP 탐지- 악성코드 다운로드 과정에 분석 / 대응- 시그니처 업데이트 없이 실시간 반영

6

연관 관계 분석- 파일간의 연관 관계를 실시간 분석- 탐지 시 연관 파일 일괄 진단

5

행위 기반 탐지- 0-day 취약점 원천 차단- 시그니처 업데이트 없이 사전 진단- 악의적 행위 패턴 탐지 존재- 정확한 탐지 (평판 , 연관관계 정보 )

4

평판 기반탐지

3

행위 기반탐지

4

클라우드 탐지

1

시그니처 탐지

2



행위 기반 분석기술을 통해 시그니처 및 탐지 룰 업데이트 없이 탐지한 zero-day 악성코드 사례는 다음과 같습니다 .

MBR

파괴 기능

TCP 패킷 발생

Outbound

네트워크 연결

DDoS 트래픽발생

3.20 전산망 마비 사태 (2013/03/20) 6.25 공공기관 DDoS 공격 사태 (2013/06/25)

• MBR 를 파괴하는 AgentBase.exe 프로세스를 생성 행위 탐지

• Taskkill 명령을 호출하여 보안 소프트웨어 관리 프로세스를 종료하는 행위 탐지

• 감염된 시스템의 윈도우 버전에 따라 하드디스크 파괴 스레드 (Thread) 생성 행위 탐지

• Anti-VM 기능을 사용하는 특정 패커로 패킹된 파일에 대한 동적 분석 수행 및 악성 판정

• tor ( 가상 터널 네트워크 ) 네트워크를 통해 메인 dropper 다운로드하는 행위 탐지

• 특정 DNS 서버로 random 도메인을 생성하여 DDoS 공격을 수행


Dynamic Intelligence Content Analysis

비실행 신종 악성코드 탐지 (1/4)

동적 지능형 콘텐츠 분석 엔진 (DICA) 은 MS 오피스 , pdf, 한글과 같은 non-PE 악성코드를 탐지하기 위해 최적화된 엔진으로 , 20 여 년간 쌓아온 안랩의 악성코드 분석 노하우가 반영됐습니다 .

• 문서 파일 형태의 알려지지 않은 (unknown) 애플리케이션 취약점

• 알려진 (known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화

exe

DLLDLL

DLL

exe DLL

Shellcodeanalysis

ROP

※ ROP: Return-Oriented Programming


Return-Oriented Programming(ROP) detection of DICA


안랩 트러스와처는 ROP(Return-Oriented Programming) 공격기법을 사용하는 비실행형 악성코드까지 탐지하는 anti-ROP 기술이 포함된동적 지능형 콘텐트 분석 엔진 (DICA) 에 탑재하였습니다 .

※ ROP(Return-Oriented Programming) 기법 컴퓨터의 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격코드를 실행시키는 방법으로 , 운영체제에서 제공하는 메모리 보호기능을 우회하는데 사용되면서 최근 APT 방식 공격에 활발하게 이용되고 있다 .

• 최근 증가 추세에 있는 ROP gadget 을 이용한 비실행형 APT 악성코드 탐지 가능

• Windows 자체 메모리 보호 기능을 우회하는 ROP gadget 을 이용한 exploit까지 탐지 가능

ROP gadget

조합된 악성 쉘코드 (a-2+b-1)

a-1 a-2 a-3

정상프로세스 (A)

b-1 b-2 b-3

정상프로세스 (B)

a-2 b-1pop %eax; ret Mov (%eax), %ebx; ret

동적 콘텐트 분석 엔진 (DICA)

ROP gadget 에 의해 발생 가능한 모든 트리거를 모니터링

ROP 기법을 이용해서 Shellcode 를 실행한다고 판단되는 메모리 영역 검사

메모리 영역이 악성 ShellCode 라고 판단되면 악성으로 판단

ROP monitoring

• 발명 명칭 : 메모리 보호기능 우회 공격 진단 장치 및 방법• 출원 번호 : 10-2013-0038639

• 출원 일자 : 2013.04.09

• DICA 의 ROP 악성코드 진단 기술


동적 지능형 콘텐트 분석 관련 특허 내용


안랩은 동적 지능형 콘텐트 분석 (DICA) 기술과 관련된 독보적인 기술 및 악성코드 진단 노하우를 보유하고 있으며 , 관련해서 다수의 국내외 특허를 등록 및 출원한 상태입니다 .

• 발명 명칭 : 악성 파일 검사 장치 및 방법• 출원 ( 등록 ) 번호 : 10-2012-0050155

• 출원 일자 : 2012.05.11

• 등록 일자 : 2012.12.10

• PCT: 출원 / 미국 : 출원 / 일본 : 등록• DICA 의 unknown 악성코드 탐지 관련된

기술

• 발명 명칭 : 비실행 파일 검사 장치 및 방법

• 출원 번호 : 10-2012-0050156

• 출원 일자 : 2012.05.11

• 등록 일자 : 2013.05.06

• PCT: 출원 / 미국 : 출원 / 일본 : 출원• DICA 의 Non-PE 탐지 관련된 기술

• 발명 명칭 : 디버그 이 벤트를 이용한 악성 쉘 코드 탐지 장치 및 방법

• 출원 번호 : 10-2012-0100255

• 출원 일자 : 2012.09.11

• 등록 일자 : 2013.03.12

• 미국 : 출원• DICA 의 쉘 코드 탐지 관련된 기술

정상

hwp.exe

DLL #1

DLL #2

DLL #3

Suspicious Mode

hwp.exe

DLL #1

DLL #2

DLL #3

Shell Code

Candidate Mode

hwp.exe

DLL #1

DLL #2

DLL #3

Shell Code

hwp.exe

DLL #1

DLL #2

DLL #3

Shell Code

Debug process

Debugging Mode

DICA 1.0 DICA 2.0



행위 기반 분석기술을 통해 시그니처 및 탐지 룰 업데이트 없이 탐지한 zero-day 악성코드 사례를 다음과 같습니다 .

이메일 첨부파일 형태로 Visaform Turkey.pdf 유입

* 참고 : CVE-2013-0640, CVE-2013-0641 * 참고 : CVE-2013-0633 및 CVE-2013-0634

MS 워드 파일에 임베디드(Embedded) 된 형태로 유입

이메일 첨부파일 형태로 유입

이메일 첨부파일 형태로 유입

어도비 리더 zero-day 악성코드 (2013/02/18) 어도비 플래시 플레이어 zero-day 악성코드 (2013/02/13)

한글 파일 zero-day 악성코드 (2013/01/19) 한글 파일 zero-day 악성코드 (2012/10/10)


오탐지 최소화트러스와처는 ASD 엔진을 통해 알려진 악성 파일 ( 블랙리스트 ) 및 정상 파일 ( 화이트리스트 ) 을 실시간 분석하여 오탐지를 최소화하고 , 신종 · 변종 악성코드 탐지에만 가상 머신 기반 엔진을 활용함으로써 성능을 높여줍니다 .

AhnLab TrusWatcher 경쟁사 솔루션

시그니처 기반

행위 기반

동적 콘텐츠 기반

시그니처 기반

시그니처

행위 기반

VSVM분석대상 VM

분석대상

blacklist blacklist

whitelist

graylist

gra

ylist

분석 샘플 분류

VM분석대상

graylist

Signature-less 제품Signature 분석 제품

오탐 가능성 (+)VM 부하 (+)

오탐 가능성 (++)VM 부하 (++)

오탐 가능성 (+++)VM 부하 (+++)


네트워크 · 파일 연계 분석 (1/2)

다양한 엔진을 이용하여 트래픽 및 파일 기반 분석을 실시함으로써 사전에 악성 파일과 좀비 PC 에 대응합니다 .

네트워크 기반 분석

파일 기반 분석

실행 파일

비실행 파일

가상 머신 환경

동적 코드 분석

악성 URL네트워크행위 특성

DDoS공격 특성

파일 특성 행위 특성

Cloud basedMalware Analysis

Engine

Behavior basedMalware Analysis

Engine

Malicious Site De-tection Engine

Flow Inspection Engine

DDoS Attack Detec-tion Engine

악성코드 정보

악성 URL, C&C 정보

평판 정보


Dynamic IntelligentContent Analysis

Engine


네트워크 · 파일 연계 분석 (2/2)

자체 탑재된 엔진의 진단 · 분석 및 클라우드 기반 최신 보안 위협을 반영해 정확한 분석을 수행합니다 .

탐지 분류 엔진 종류 룰 개수

네트워크기반 탐지

Malicious Site Detection Engine 약 10,000 개 (URL)

Flow Inspection Engine 약 900 개

DDoS Attack Detection Engine 약 1,000 개

파일 기반 탐지

Cloud based Malware Analysis Engine 약 8 억 개

Behavior based Malware Analysis Engine 약 200 개

Dynamic Intelligent content Analysis(DICA) 룰 불필요

분류 상세 항목 설명

기본 파일 정보File Basic Information 기본 파일 실행 정보

Mail Information 파일 메일 발송 행위 정보

파일 행위 탐지

File Monitor 파일 생성 등의 행위 탐지

Process Monitor 프로세스 행위 탐지

Registry Monitor 레지스트리 변경 행위 탐지

Network Monitor 네트워크 접속 행위 탐지

Injection Monitor 파일 , 프로세스 인젝션 행위 탐지

Kernel Monitor 커널 행위 탐지

API Monitor API 행위 탐지

파일 동적 분석 Content Analysis 파일 콘텐츠 동적 분석

프로토콜 실행 파일 (PE)비실행 파일 (non-PE)

문서 파일 매크로 파일 스크립트 파일 실행 압축 파일 그림 파일

HTTP, FTP, POP3, IMAP, SMTP, SMB, NFS, IM 등 (각 프로토콜별 서비스 포트 16 개씩 설정 가능 )

EXE, COM, DLL, DRV, OCX, SCR, SYS 등PE 포맷의 실행형 파일

hwp, doc(x), ppt(x), xls(x), pdf, gul 등

doc(x), xls(x), ppt(x), SHS 등

ASP, BAS, BAT, CHM, DRV, EML, HTA, HTM, HTML, HTT, INI, JS, JSE, KEY, ..LNK, MRC, NWS, PHP, PIF, PL, SH, VBE, VBS 등

DIET, LZEXE, PKLITE 등

gif, bmp, pdf, jpeg, jpg, jpe, png 등

HTTP = Any Port 파일 확장자 상관 없이 수집 프로토콜 내의 모든 파일 수집 가능

방대한 수의탐지 정책제공

다양한파일 기반분석

다양한프로토콜 파일 분석


적극적인 대응 기능 (1/3)

트러스와처는 C&C 서버 접속 및 악성코드 배포사이트와 같은 이상트래픽에 대해서 네트워크 레벨의 차단 기능을 제공합니다 . ( 전용 agent 설치 여부와 무관 )

상 하 ∙ Reset 패킷 전송

대상 프로토콜

차단 방식

TCP TCP RESET 패킷을 client-server 양측에 전송

UDP ICMP Unreachable 패킷을 client-server 양측에 전송

DNS re-quest

garbage DNS response 패킷을 client 측에 전송

네트워크 level 차단 대상 이벤트

네트워크 level 차단 방식

C&C 트래픽 탐지 이벤트

Malsite 접속 탐지 이벤트

네트워크 레벨 차단 기능

사용자

INTERNETTCP

Reset

TCPReset

C&C 서버Mal-site



트러스와처는 전용 에이전트 (agent) 를 이용해 탐지된 악성코드를 다운로드 한 호스트에 대한 자동 / 수동 삭제를 통한 조치를 수행합니다 .

Endpoint Layer

Network Layer

악성코드 진단

파일 수집

악성코드 삭제

Endpoint Layer

Network Layer

파일 수집

VS


악성코드 진단

자동 / 수동 삭제 명령 1 차 대응 지연 - PC 사용자 파악

어려움

2 차 대응 지연 - 실질적인 조치 불가

∙ AV 실행 ?

∙ 수동 삭제 ?

∙ PC 포맷 ?



트러스와처는 전용 에이전트 (agent) 를 이용해 악성도가 확인되지 않은 파일의 실행을 보류시키는 실행보류 (execution holding) 기능을 제공합니다 .

TrusAnalyzer

TrusWatcher Controller

2

3

TrusWatcher ZPX1

4

5

TrusWatcher Agent

파일 추출 및분석 시작

1

PC 내 파일 다운로드

2

분석 완료 및악성 판정

4

분석 소요 시간 대응 소요 시간

기본 치료 기능

실행 보류 기능 execution holding

잠재 악성코드 실행 차단

악성코드 실행 → 악성행위 발생 가능

삭제 명령전달

다운로드된파일 실행

53

정상판정 실행 허용

악성판정 실행홀딩 유지Execution Holding 동작


비용 효율성 (1/2)

트러스와처는 단일 분석시스템을 통해 HTTP, SMTP/POP3/IMAP, FTP, SMB( 파일공유 ) 등 주요 인터넷 서비스에 대한 트래픽 수집 및 악성코드 분석이 가능해 특정 프로토콜 전용 솔루션 도입이 필요하지 않습니다 .

EmailWeb

Web 전용 분석시스템

Email 전용 분석시스템

TrusWatcher ZPX

VS

File 전용 분석시스템

SMB


Web Email SMB FTP


비용 효율성 (2/2)

트러스와처는 유연한 네트워크 인터페이스 옵션을 제공해 다양한 고객사 환경에서 추가 비용 부담 없이 구축 가능하며 , 1 대의 장비로 다중 회선에 대한 동시 모니터링이 가능해 관리가 용이합니다 .

Splitter/AggregatorTrusWatcher ZPX

10G 10G

∙ 1G copper x 10 port

∙ 1G fiber x 8 port

∙ 10G fiber x 2 port



경쟁사 비교 자료

분류 TrusWatcher 글로벌 A 사 글로벌 B 사

주요 기술 • 행위 기반 파일 분석• 동적 콘텐츠 기반 파일 분석 • 행위 기반 파일 분석 • AV 엔진 기반 파일 분석

구성 및 성능• 에이전트를 통한 치료 가능• Out-of-band 방식• 10G fiber 옵션 제공

• 에이전트 없음• In-line / Out-of-band 방식• 10G fiber 미지원 : Smart TAP 필요

• 에이전트를 통한 치료 가능• Out-of-band 방식• 10G fiber 미지원 : Smart TAP 필요

악성코드분석 체계

• 시그니처 기반 분석• 행위 기반 분석 ( 가상 시스템 )• 콘텐츠 기반 분석 ( 가상 시스템 )

• 시그니처 기반 분석• 행위 기반 분석 ( 가상 시스템 )

• 시그니처 기반 분석• Sandbox simulation

알려진 정상 / 악성 파일 판정 기능

• 내장 및 클라우드 기반 DB 이용• 악성 파일 및 정상 파일 동시 판정

• 내장 및 클라우드 기반 DB 이용• 행위 기반 분석 결과로 악성 / 정상 판정 모호

• AV 엔진을 이용하여 악성 파일에 대해서만 판정

알려지지 않은 악성 파일 판정 기술

• 행위 기반 분석 ( 악성 / 정상 판정 )• 콘텐츠 기반 분석 ( 악성 / 정상 판정 )

• 행위 기반 분석 결과로 악성 / 정상 판정 모호 • Sandbox simulation• 해외 분석 센터로 의뢰하여 판정

로컬어플리케이션지원 여부

• 비실행 파일 분석 : 지원 ( 아래아 한글 포함 )• 압축파일 분석 : 지원 ( 알집 alz 포함 )

• 비실행 파일 분석 : 일부 지원• 압축파일 분석 : 일부 지원

• 비실행 파일 분석 : 일부 지원• 압축파일 분석 : 일부 지원

오진 대응력 • 국내 대부분의 정상 파일 정보 보유로 정상 파일에 대한 오탐지율 0%

• 정상 파일 정보 없음• 정상 파일에 대한 오탐지 가능성 존재

• 정상 파일 정보 없음• 정상 파일에 대한 오탐지 가능성 존재

에이전트대응 기능

• 탐지된 악성코드 삭제 ( 자동 / 수동 )• 삭제된 파일 복원• 의심파일 추출 기능• 실행 보류 기능 (execution holding)

• Agent 부재로 감염 PC 치료 불가 • 탐지된 악성코드 삭제• 삭제된 파일 복원

비고

• 에이전트 부재로 감염 PC 치료 불가• 행위 기반 악성코드 분석의 한계를 극복할 수 있는 방안 부재 ( 오탐지 대량 발생 )• AV 벤더가 아니므로 자체 악성코드 분석을 통한 시그니처 DB 가 빈약함

• Sandbox simulation 기능이 추가되었다고 하나 , 현재까지는 AV 엔진 중심의 시그니처 기반 분석 수행• 시그니처 분석에 의존적이 므로 알려지지 않은 악성코드에 대한 분석에 한계 존재함


NSS Labs 평가 결과 (2013.07)

안랩 MDS ( 트러트와처의 글로벌 제품명 ) 가 2013 년 7월 NSS Labs 에서 발표한 정보유출 진단 제품 분석 [Breach Detection SystemProduct Analysis] 테스트에서 높은 점수를 기록하여 NSS 인증을 획득했습니다 .

NSS Lab 은 세계적으로 인정 받는 정보 보안 연구 및 자문기관으로 , 많은 기업의 CEO, CIO, CISO 그리고 정보 보안 전문가에게 신 뢰할 수 있는 테스트 결과를 제공하고 있습니다 .

" 안랩 MDS 는 이번 테스트에서 1,000 Mbps 의 Throughput,

94.7% 의 정보유출 방지 및 진단율을 기록했다 .

또한 Stability and Reliability 측정을 위한 테스트에서도 모든 항목을 통과했다 ."

NSS Labs (www. nsslabs.com)

Throughput

1,000Mbps

Breach Detection

94.7%

Stability and Reliability

PASS

* AhnLab MDS 는 트러스와처의 글로벌 제품명으로 Malware Defense System 의 약자임

4. 제품 구성 및 사양


TrusWatcher 구성 제품 (1/5)

기본 단독형 구성

TrusWatcher ZPX

악성코드 및 이상 트래픽 탐지 시스템

통합 모니터링 및 로그 관리 시스템

치료 및 에이전트 관리 시스템

전용 에이전트

TrusAnalyzer


TrusWatcher Agent



TrusWatcher ZPX ( 탐지 시스템 )

제품명 AhnLab TrusWatcher ZPX

제품 구분 악성코드 및 이상 트래픽 탐지 시스템

주요 기능

• 주요 인터넷 서비스 프로토콜 수집 및 분석 (HTTP, SMTP, FTP 등 )

• 파일 유입 및 유출에 대한 양방향 트래픽 모니터링• 복수의 악성코드 분석 엔진 사용을 통한 탐지 신뢰도 향상• 가상 머신 기반 분석을 통한 신종 악성코드 분석 ( 최대 20 개의 가상 머신 동시 실행 )

• 비실행형 (non-PE) 악성코드 전용 엔진 탑재 ( 아래아한글 및 MS 오피스 탑재 )

• 악성코드 감염 PC 에 의한 유해 사이트 접근 및 C&C 통신 탐지 및 차단• 악성코드 감염 PC 에 의한 DDoS 공격 트래픽 탐지• 다양한 네트워크 인터페이스 옵션 지원 (1G copper/fiber 및 10G fiber)

• 이중화 환경에 대비한 HA 지원• 자체 관리 웹 UI 제공• 전용 어플라이언스 타입

제품 라인업• AhnLab TrusWatcher ZPX 2000(throughput : 2Gbps)• AhnLab TrusWatcher ZPX 6000(throughput : 10Gbps)



TrusAnalyzer ( 모니터링 및 로그 시스템 )

제품명 AhnLab TrusAnalyzer

제품 구분 통합 모니터링 및 로그 관리 시스템

주요 기능

• 대시보드를 통한 보안 현황 및 주용 이벤트 정보 제공• 실시간 악성코드 유입 현황 및 이상 트래픽 발생 여부 확인• 악성 판단된 파일에 대한 자동 · 수동 치료 명령 제공• 악성 파일 및 이상 트래픽 탐지 호스트에 대한 ‘의심 파일 추출’ 명령 제공• 이벤트 종류 , IP 주소 , 대응 결과 , 파일 이름 등에 대한 상세 로그 제공• 탐지된 파일에 대한 다운로드 기능 제공• VM 분석 과정 및 C&C 탐지 내역에 대한 PCAP 기반 패킷 캡쳐 및 PCAP 파일 다운로드 기능 제공• 다양한 분석 보고서 템플릿 제공• 자동 및 수동 DB 백업 기능• 서드 파티 보안 관리 시스템 (SIEM, ESM) 연동을 위한 syslog 포워딩 기능• RAID 5 옵션 지원• 전용 어플라이언스 타입

제품 라인업• AhnLab TrusAnalyzer 2000( 로그 : 20,000MPS)

• AhnLab TrusAnalyzer 5000( 로그 : 25,000MPS)

• AhnLab TrusAnalyzer 10000( 로그 : 50,000MPS)



TrusWatcher Controller & Agent ( 치료 시스템 및 에이전트 )

제품명 AhnLab TrusWatcher Controller, AhnLab TrusWatcher Agent

제품 구분 치료 시스템 및 전용 에이전트

주요 기능

• 탐지된 악성코드 감염의심 호스트에 대해서 악성코드 치료 기능 ( 자동 / 수동 )

• 악성코드 감염 의심 호스트에 대한 ‘의심 파일 추출’ 기능• 악성코드 분석 중인 실행형 (PE) 파일에 대한 ‘실행 보류 (execution holding)’ 기능• 유사시 삭제된 파일에 대한 복원 기능• 컨트롤러를 통한 에이전트의 기능 및 패치 업데이트 기능• 개별 · 전체 호스트에 대한 공지사항 기능• 에이전트 수의 증감에 유연하게 대응할 수 있는 서버팜 형태의 확장 기능• TrusWacher ZPX와 연계하여 TrusWacher 에이전트 미설치 호스트에 자동 배포• 에이전트는 설치 후 재부팅 없는 정상 동작 기능• TrusAnalyzer(TA) 모듈을 옵션 라이선스로 추가 가능• 전용 어플라이언스 타입

제품 라인업

• AhnLab TrusWatcher Controller 2000( 노드 수 : 2,000 대 )



• AhnLab TrusWatcher Controller 2000(with TA 라이선스 ) ( 노드 수 : 500 대 )

• AhnLab TrusWatcher Controller 5000(with TA 라이선스 ) ( 노드 수 : 1,500 대 )

• AhnLab TrusWatcher Controller 10000(with TA 라이선스 ) ( 노드 수 : 3,000 대 )



TrusWatcher APX(올인원 시스템 )

제품명 AhnLab TrusWatcher APX(All-in-one Prevention eXpress)

제품 구분 올인원 시스템 ( 탐지 + 치료 + 통합 관리 · 로그 )

주요 기능

• 주요 인터넷 서비스 프로토콜 수집 및 분석 (HTTP, SMTP, FTP 등 )

• 파일 유입 및 유출에 대한 양방향 트래픽 모니터링• 가상 머신 기반 분석을 통한 신종 악성코드 분석 ( 최대 5 개의 가상 머신 동시 실행 )

• 비실행형 (non-PE) 악성코드 전용 엔진 탑재 ( 아래아한글 및 MS 오피스 탑재 )

• 악성코드 감염 PC 에 의한 유해 사이트 접근 및 C&C 통신 탐지 및 차단• 악성코드 감염 PC 에 의한 DDoS 공격 트래픽 탐지• 다양한 네트워크 인터페이스 옵션 지원 (1G copper/fiber)

• 대시보드를 통한 보안 현황 및 주요 이벤트 정보 제공• 탐지된 악성코드 감염 의심 호스트에 대해서 악성코드 치료 기능 ( 자동 / 수동 )

• 악성코드 감염 의심 호스트에 대한 ‘의심 파일 추출’ 기능• 유사시 삭제된 파일에 대한 복원 기능• 전용 어플라이언스 타입

제품 라인업 • AhnLab TrusAnalyzer for APX 2000(throughput : 1Gbps, 노드 수 : 500 대 )


TrusWatcher 제품 구성안 (1/5)

기본적으로 탐지 · 치료 · 로그 기능이 일체형 (all-in-one) 장비 형태로 제공 가능하며고객사 환경에 따라 탐지 장비 (ZPX), 치료 장비 (TWC), 로그 장비 (TA) 로 유연하게 구성할 수 있습니다 .

TrusWatcher ZPX( 탐지 )

TrusWatcher Controller(with TrusAnalyzer license)( 치료 + 모니터링 · 로그 )

TrusWatcher ZPX( 탐지 )

TrusAnalyzer( 모니터링 · 로그 )

TrusWatcher Controller( 치료 )

TrusWatcher APX( 탐지 + 치료 + 모니터링 · 로그 )

∙ TrusWatcher APX 2000 ∙ TrusWatcher ZPX 2000∙ TrusWatcher ZPX 6000

∙ TrusWatcher Controller 2000(with TA)∙ TrusWatcher Controller 5000(with TA)∙ TrusWatcher Controller 10000(with TA)

∙ TrusWatcher ZPX 2000∙ TrusWatcher ZPX 6000

∙ TrusAnalyzer 2000∙ TrusAnalyzer 5000∙ TrusAnalyzer 10000

∙ TrusWatcher Controller 2000∙ TrusWatcher Controller 5000∙ TrusWatcher Controller 10000

소규모 · 지사 (SOHO) 중견 기업 (SMB) 대기업 (Enterprise)



구성안 A( 단독형 조합 )

어플라이언스 타입(HW 및 SW 일체형 )TrusWatcher ZPX


TrusAnalyzer

통합 모니터링 및 로그 관리 시스템 어플라이언스 타입(HW 및 SW 일체형 )


치료 및 에이전트 관리 시스템 어플라이언스 타입(HW 및 SW 일체형 )

전용 에이전트TrusWatcher Agent

SW 타입

■ ZPX 단독형 ■ TA 단독형 ■ TWC 단독형 □ TA/TWC 통합형 □ APX 올인원 ■ agent



구성안 B(TWC/TA 통합형 )



치료 및 에이전트 관리 시스템 + 통합 모니터링 및 로그 관리 시스템 어플라이언스 타입

(HW 및 SW 일체형 )TrusWatcher Controller(TrusAnalyzer 라이선스 포함 )


SW 타입

■ ZPX 단독형 □ TA 단독형 □ TWC 단독형 ■ TA/TWC 통합형 □ APX 올인원 ■ agent



구성안 C(올인원 )

어플라이언스 타입(HW 및 SW 일체형 )

악성코드 및 이상 트래픽 탐지 시스템 + 치료 및 에이전트 관리 시스템 + 통합 모니터링 및 로그 관리 시스템TrusWatcher APX


SW 타입

□ ZPX 단독형 □ TA 단독형 □ TWC 단독형 □ TA/TWC 통합형 ■ APX 올인원 ■ agent



구성안 D( 탐지 only)

■ ZPX 단독형 ■ TA 단독형 □ TWC 단독형 □ TA/TWC 통합형 □ APX 올인원 □ agent



TrusAnalyzer

통합 모니터링 및 로그 관리 시스템 어플라이언스 타입(HW 및 SW 일체형 )


TrusWatcher 제안 구성도 : 기본TrusWatcher 는 ‘악성 파일 수집 – 분석 – 모니터링 – 대응’의 종합적인 APT 대응 프로세스를 제공합니다 .

TrusAnalyzer

TrusWatcher ZPX



Mirroring Traffic 수신

이상 트래픽 탐지

악성 파일 분석 · 탐지

1

2

3

탐지 현황 모니터링4

악성 파일 조치 명령( 자동 / 수동 )

5

조치 결과 모니터링8

조치 명령 전달6

악성 파일 조치 · 조치 결과 전송7

TrusWatcherAgent


TrusWatcher 제안 구성도 : 본사 - 지사 구간 (1)

각 구간별 Full Set 구성 ( 개별 모니터링 )

TrusWatcher Controller( 본사 클라이언트 PC 조치 )

TrusAnalyzer( 본사 모니터링 )

TrusWatcher ZPX

( 본사 인터넷 구간 )

TrusWatcher ZPX)

TrusWatcher ZPX



TrusAnalyzer

본사 지사 A

지사 B

TrusAnalyzer


TrusWatcher 제안 구성도 : 본사 - 지사 구간 (2)

각 구간별 Full Set 구성 (본사에서 통합 모니터링 )

TrusWatcher Controller( 본사 클라이언트 PC 조치 )

TrusAnalyzer( 통합 모니터링 )

TrusWatcher ZPX

( 본사 인터넷 구간 )

TrusWatcher ZPX)

TrusWatcher ZPX



TrusAnalyzer( 본사 TA 로 로그 전 송 )

TrusAnalyzer( 본사 TA 로 로그 전 송 )

본사 지사 A

지사 B


TrusWatcher 제품 사양 (1/2)

구분 TrusWatcher ZPX 2000 TrusWatcher ZPX 6000 TrusWatcher APX 2000

제품 사양

제안 성능 1Gbps급 3Gbps급 1Gbps급

CPU Intel Quad Core 2.66GHz Intel Nehalem 2.53GHz * 2EA Intel Xeon 3.4GHz

Memory 8GB(4GB * 2EA) 32GB(8GB * 4EA) 16GB(4GB * 4EA)

HDD 500GB 1TB 1TB

SSD 256GB 256GB 512GB

Interface( 기본 ) 1G Copper * 5EA1G Fiber * 2EA

1G Copper * 2EA1G Fiber * 8EA

1G Copper * 5EA1G Copper/Fiber * 4EA

Interface(옵션 ) 1G Fiber * 4EA1G Copper * 8EA10G Fiber * 2EA

-

전원 이중화 지원 지원 지원

Chassis 2U, 19inch 2U, 19inch 2U, 19inch

구성 방식 Mirroring / TAP Mirroring / TAP Mirroring / TAP

VM 분석용SW 탑재

• MS Windows XP & 7• MS office 2010 standard(OEM) • 한글 2010 SE license



비고• 올인원 type

(ZPX, TrusAnalyzer, TrusWatcher Controller 통합 기능 제공 )


TrusWatcher 제품 사양 (2/2)

구분 TrusAnalyzer 2000 TrusAnalyzer 5000 TrusAnalyzer 10000

제품 사양

제안 성능 10,000MPS 25,000MPS 50,000MPS

CPU Intel i3-2100(3.1GHz) Intel Xeon E3-1230(3.2GHz) Intel Xeon E3-1270(3.4GHz)


HDD 500GB 1TB(500GB*2EA) 4TB(1TB*4)

HDD Bay 총 2 개 총 4 개 총 12 개

RAID 미지원 옵션 지원 (RAID 5) 기본 지원 (RAID 5)

Interface 1G Copper*2EA 1G Copper*2EA 1G Copper*2EA

전원 이중화 미지원 미지원 지원


추가 HDD 옵션 SATA 3 500GB/ 7,200RPM

SATA 3 1TB/ 7,200RPM

SATA 3 2TB/ 7,200RPM

구분 TrusWatcher Controller 2000 TrusWatcher Controller 5000 TrusWatcher Controller 10000

제품 사양

제안 노드 수 2,000 대 5,000 대 10,000 대

CPU Intel i3-2100(3.1GHz) Intel Xeon E3-1230(3.2GHz) Intel Xeon E3-1270(3.4GHz)


HDD 500GB 1TB(500GB*2EA) 4TB(1TB*4)

RAID 미지원 옵션 지원 (RAID 5) 기본 지원 (RAID 5)

Interface 1G Copper*2EA 1G Copper*2EA 1G Copper*2EA

전원 이중화 미지원 미지원 지원


구분 TrusWatcher Agent

지원 OSClient PC OS : Windows 2000 / XP / Vista / 7 / 8Server OS : Windows Server 2000 / 2003 / 2008 * 32/64 bit 지원

D E S I G N Y O U R S E C U R I T Y

http://www.ahnlab.com

© AhnLab, Inc. All rights reserved.

Documents

[표준제안서]Trus watcher