hahahia

정상파일과 취합 및 판단기준(정상파일을 악성코드를 구분할 수 있는 기준) 본문

Security /Research

정상파일과 취합 및 판단기준(정상파일을 악성코드를 구분할 수 있는 기준)

hahahia 2012. 7. 16. 17:21


정상파일 악의적인 기능을 하지 않고, 제작자가 공개한 기능 및 목적 내에서 본래의 역할을 수행하는 파일

자동 분석으로 악성코드를 진단하는데 있어서 오진단도 함께 증가하는 상황, 주요 파일에 대한 오진단은 큰 손실을 가져올 수 있다.

정상파일 수집을 수집 => 정상파일 셋을 구축 => 안티바이러스 배포 전에 최종적으로 정상파일 셋 검사 => 오진을 사전에 확인하여 차단

위 방법에서는 대량의 정상파일을 수집해야 함

 

문제점

1. 수많은 파일 중에서 어떤 파일을 수집해야 하는 기준이 없다.

2. 어떤 파일을 정상파일로 판단할 지에 대한 기준이 없다.

 

방법론

1.     WhiteList 관리

-       주요파일에 대해서 목록을 만들어 관리하는 방식

-       시스템에 치명적인 문제를 일으킬 수 있는 파일의 이름, 설치 위치등을 목록으로 관리하여 오진으로 해당파일을 삭제하지 못하게 하는 방법

-       손 쉽게 주요 파일을 관리, 파일의 수가 대량일 경우 목록 유지관리에 어려움. 상대적으로 정확성이 떨어진다

2.     NSRL

-       모든 파일에 대한 정보를 DB(국제적)

-       WhiteList 극복, 정상/악성 파일의 구분이 없다. 분석정보 제공 X, 오진단 검출용으로는 사용하기 어렵다.

3.     MS Catalog

-       MS사 자체 무결성 정보 제공(자체 보안 알고리즘)

-       MS사에서 만든 OS 관련 파일에서만 정보를 제공. 다른 Application에서는 사용 X

4.     정상파일 셋

-       파일들을 수집, 정상파일의 셋과 DB를 구축, 배포 이전에 오진단 여부를 최종적으로 확인하는 방식

-       가장 정확하지만 정상파일을 대량으로 수집해야 한다.

 

정상파일의 특성

1.     정상파일은 악의적인 기능을 수행하지 않는다.

2.     정상파일은 사용자가 승인한 기능만을 한다.

3.     정상파일은 정상적인 라이브러리 파일로 구성된다.

4.     정상파일은 시스템이나 다른 파일의 기능을 방해하지 않는다.

5.     정상파일은 신뢰된 제작자에 의해 제공된다.

6.     정상파일은 적절한 사이즈를 가지고 있다.

7.     정상파일은 지정된 위치에 설치된다.

 

수집할 파일의 대상

OS File(MS, Apple, SUN …)

H/W Driver(Board, CPU, Device …)

Public Application(Multimedia, Game, Programming …)

Local Application(정보 관리, 병원 관리, 금융 서비스 등등)

Script File(업무장애 방지 목적, Python, shell …)

Install File(sw설치 불가 장애방지, installer)

 

정상파일 여부 판단 기준

해당파일이 가지고 있는 내부정보, 해당파일의 특징을 나타낸다(Name, Hash value, Date time, Size, Description)

무결성 여부, 해당파일의 변조여부를 파악, 원래 제공자가 배포한 파일과 동일한지 파악한다(Codesign, File header, MS Catalog)

취합 시기와 취합 경로(history), 제작사에 배포한 시기와 동일한지 파악한다

해당 파일의 악성여부 Anti-virus 진단과 import function 정보를 사전에 파악(blacklist)

'Security > Research' 카테고리의 다른 글

알아두면 유용한 사이트(정리)  (0) 2012.11.14
악성코드 파일 수집(허니팟)  (0) 2012.07.16
Comments