파일 시그니처 모음(PE)

http://forensic-proof.com/archives/300

PE에 대해 자세한 설명과 각 파일들의 타입과 시그니처가 잘 정리되있는 사이트.


Encode/Decode 사이트

http://tools.web-max.ca/encode_decode.php

왠만한 암호는 암호화, 복호화 기능 지원.

신고


정상파일 악의적인 기능을 하지 않고, 제작자가 공개한 기능 및 목적 내에서 본래의 역할을 수행하는 파일

자동 분석으로 악성코드를 진단하는데 있어서 오진단도 함께 증가하는 상황, 주요 파일에 대한 오진단은 큰 손실을 가져올 수 있다.

정상파일 수집을 수집 => 정상파일 셋을 구축 => 안티바이러스 배포 전에 최종적으로 정상파일 셋 검사 => 오진을 사전에 확인하여 차단

위 방법에서는 대량의 정상파일을 수집해야 함

 

문제점

1. 수많은 파일 중에서 어떤 파일을 수집해야 하는 기준이 없다.

2. 어떤 파일을 정상파일로 판단할 지에 대한 기준이 없다.

 

방법론

1.     WhiteList 관리

-       주요파일에 대해서 목록을 만들어 관리하는 방식

-       시스템에 치명적인 문제를 일으킬 수 있는 파일의 이름, 설치 위치등을 목록으로 관리하여 오진으로 해당파일을 삭제하지 못하게 하는 방법

-       손 쉽게 주요 파일을 관리, 파일의 수가 대량일 경우 목록 유지관리에 어려움. 상대적으로 정확성이 떨어진다

2.     NSRL

-       모든 파일에 대한 정보를 DB(국제적)

-       WhiteList 극복, 정상/악성 파일의 구분이 없다. 분석정보 제공 X, 오진단 검출용으로는 사용하기 어렵다.

3.     MS Catalog

-       MS사 자체 무결성 정보 제공(자체 보안 알고리즘)

-       MS사에서 만든 OS 관련 파일에서만 정보를 제공. 다른 Application에서는 사용 X

4.     정상파일 셋

-       파일들을 수집, 정상파일의 셋과 DB를 구축, 배포 이전에 오진단 여부를 최종적으로 확인하는 방식

-       가장 정확하지만 정상파일을 대량으로 수집해야 한다.

 

정상파일의 특성

1.     정상파일은 악의적인 기능을 수행하지 않는다.

2.     정상파일은 사용자가 승인한 기능만을 한다.

3.     정상파일은 정상적인 라이브러리 파일로 구성된다.

4.     정상파일은 시스템이나 다른 파일의 기능을 방해하지 않는다.

5.     정상파일은 신뢰된 제작자에 의해 제공된다.

6.     정상파일은 적절한 사이즈를 가지고 있다.

7.     정상파일은 지정된 위치에 설치된다.

 

수집할 파일의 대상

OS File(MS, Apple, SUN …)

H/W Driver(Board, CPU, Device …)

Public Application(Multimedia, Game, Programming …)

Local Application(정보 관리, 병원 관리, 금융 서비스 등등)

Script File(업무장애 방지 목적, Python, shell …)

Install File(sw설치 불가 장애방지, installer)

 

정상파일 여부 판단 기준

해당파일이 가지고 있는 내부정보, 해당파일의 특징을 나타낸다(Name, Hash value, Date time, Size, Description)

무결성 여부, 해당파일의 변조여부를 파악, 원래 제공자가 배포한 파일과 동일한지 파악한다(Codesign, File header, MS Catalog)

취합 시기와 취합 경로(history), 제작사에 배포한 시기와 동일한지 파악한다

해당 파일의 악성여부 Anti-virus 진단과 import function 정보를 사전에 파악(blacklist)

신고
허니팟(honey pot)이란?

컴퓨터 프로그램에 침입한 스팸과 컴퓨터바이러스, 크래커를 탐지하는 가상컴퓨터이다. 침입자를 속이는 최신 침입탐지기법으로 마치 실제로 공격을 당하는 것처럼 보이게 하여 크래커를 추적하고 정보를 수집하는 역할을 한다. 크래커를 유인하는 함정을 꿀단지에 비유한 것에서 명칭이 유래한다.

기존 허니팟의 종류

1. 크래커의 공격을 유인으로 내부 정보자원을 보호한다.

  => 취약해 보여야 함

  => 시스템을 통과하는 모든 패킷 감시(관리자)

  => Trapserver1, BackOfficer Friendly

2. 방어기법 연구를 위한 목적으로 공격기법을 로그기반으로 수집한다.

  => 공격유도(기본기능)

  => 실제와 동일한 네트워크 환경(다수의 허니팟으로 구성된 허니넷 구성)

 

최근 크래커의 공격형태

=> 불특정 다수 공격, 악성코드 유포

따라서 허니팟의 유형도 변화 필요

 

가상화 기술을 통해 분석

=> 취약한 시스템과 관리자 시스템 분석

 

기존 허니팟과 악성코드 수집용 허니팟의 비교

 

기존 허니팟 => 크래커가 착각하도록 허니넷 구성(허니넷 안에서만 활동)

공격기법 분석을 위해 시스템 로그 수집

패킷 분석(악성코드 행위를 알기 위함)

 

악성코드 수집용 허니팟 => 생성된 파일, 변경된 파일, 시스템 로그 수집

자체Outboud 트래픽 차단(외부 누출 피해방지)

악성코드 수집용 운영체제, 시스템 관리용 운영체제(두개 이상의 운영체제)

패킷 및 파일 동작, 프로세스 동작

 

악성코드 수집용 허니팟이 갖추어야 할 8대 요구조건

1. 악성코드를 유도하기 위해 취약점을 내포해야 한다

2. 악성코드 수집용 시스템과 허니팟 관리를 위한 시스템이 분리되어야 한다

3. 악성코드 수집용 네트워크와 허니팟 관리용 네트워크가 분리되어야 한다

4. 악성코드 감염으로 인한 피해 확산을 방지하는 기능을 제공해야 한다

5. 악성코드 감염으로 인한 시스템 Freezing 방지 기능을 제공해야 한다

6. 악성코드 의심파일을 전송하기 위한 보안 채널을 제공해야 한다

7. 시스템에 침입하는 모든 패킷을 감시할 수 있어야 한다

8. 시스템을 침입한 악성코드 의심파일의 행위를 감시해야 한다


악성코드 수집용 허니팟의 구성

host system

- patched : 보안패치 완료된 상태

- firewall : 외부 공격 보호를 위한 방화벽

- PE validation check : 실행되는 파일인지 체크(악성코드는 실행되는 파일이라고 전제)

guest system

- non-patch : 악성코드 수집을 위한 취약점이 드러난 상태

vmm - 가상화 기술(vm ware), host guest를 따로 구성

management

- 파일 무결성 체크(file integrity check)를 실시간(scheduler)으로 해야한다

- 기존에 진단된 악성코드는 제거(anti-virus)

- 악성코드에 의한 공격이 외부로 나가지 않게 차단(firewall, outbound 트래픽 차단)

- freezing 증상 방지(prevent freezing)

- 수집된 악성코드 안전하게 전송(보안 채널보유, 암호화)

remote control - 허니팟은 보통 다른 지역에 설치된다(원격 관리)

 

수집 비율-> 해외>국내

악성코드 수집용 허니팟 시스템을 구축하기 위해서 고려해야 할 사항

1. 보안이 상대적으로 취약한 외부 네트워크 단에 허니팟 설치를 고려해야 한다

2. 국내보다는 해외에서 악성코드 발생률이 높으므로, 해외 위주의 허니팟 시스템 구현을 고려

3. 해외 허니팟 설치 시, 해당 국가의 환경에 따라 네트워크 품질이 상이함으로, 사전에 국가별 제공되는 네트워크 품질을 고려해야 한다

4. VLAN으로 네트워크 대역을 구분한 경우에는 내부 네트웍 단에 여러 대의 허니팟 설치를 고려하거나, IDS, IPS에 탐지된 경우 허니팟으로 트래픽을 전환하는 방식을 고려해야 한다.

신고

+ Recent posts