악성프로세스검출을위한시스템및방법 특허등록 (2015.2.11) 제 10-1494329 호 Z-Block 제품소개 제조사 : 총판사 :
1. 악성코드핫이슈 2. 악성코드탐지기법 3. 알려진 APT 탐지 4. 신, 변종 APT 행위분석 5. APT 해결방안 6. 권장구성안및기대효과 7. 제품 Line-up, CC인증 8. 주요고객사
해킹된웹서버 해커그룹 C&C 서버 웹서핑 ( 우연 ) 스팸메일 APT( 작은악성코드 ) 악성코드유포서버 해마다진화하고있는다양한악성코드위협으로인해인터넷환경에서개인 PC 사용자는인터넷뱅킹, 공인인증서를안전하게사용가능하여야하며, 업무 PC 사용자는내부정보유출및해킹공격등을방지할수있어야합니다. 바이러스백신 S/W 가모든악성코드를치료할수없기에, 신속히악성코드를탐지하고, 공격자와의통신을차단하여 PC 사용자는악성코드위협으로부터최대한자유로워야만합니다.
탐지기법분석 악성코드탐지의대명사인바이러스백신검사가모든악성코드탐지및치료의한계성도출 ( 전세계적으로하루탄생되는신 / 변종악성코드는약 150,000~500,000개인데치료되는백신업데이트는하루약 200개정도불과 ) 현존하는가장이상적인악성코드탐지로 가상행위분석 기법적용 ( 가상의공간에서악성코드감염및 C&C서버와의통신등다양한행위경험을통하여악성코드판명하기에오탐 / 미탐최소화 ) 기존바이러스백신검사보다알려지지않은신 / 변종악성코드탐지를가장신속하게탐지하여 APT 탐지솔루션의핵심기능으로부상 분석신뢰도 F사의제품을포함 APT 탐지솔루션가상머신에서탐지된악성코드의 70%~80% 는애드웨어 ( 가상머신탐지알고리즘이시스템, 레지스트리, 시작프로그램등모든이벤트를탐지하기에과탐 ( 오탐 ) 발생 ) 가상행위분석을우회하는악성코드소스발견으로추가적인병행탐지기법필요 ( 가상행위분석을기반으로빅데이터를이용한 포렌식분석, 악성도메인의경유지 / 배포지탐지관리하는 상관관계분석 등다양한병행탐지기법출현 ) 해당조직내탐지된악성코드에대하여위험등급관리및탐지히스토리에의한모니터링으로분석관리필요 권장방안 시그니처및행위분석탐지는기본공격패턴탐지권장 감염된 PC 의악의적인프로세스탐지권장 공격패턴탐지는 ShellCode 공격탐지, SQL 공격탐지, Web Server 공격탐지, FTP 공격탐지를말한다
INTERNET 외부 Server 감염된 PC 는 APT 공격에활용되며내부서버및외부서버를공격함 APT 에서자주사용되는공격패턴을탐지하여예방 양방향 ShellCode 공격탐지, SQL 취약점공격, Web Server 취약점공격, FTP 취약점공격탐지 라우터 내부망 방화벽 내부 Server Port Mirroring 백본스위치 Z-Block 서버및사용자
INTERNET 외부 APT 에서자주사용되는악성코드패턴을탐지하여예방 양방향 Exploit, Malware, Trojan, Worm, Backdoor 패턴탐지 라우터 내부망 방화벽 Port Mirroring 백본스위치 Z-Block 서버및사용자
StoryTelling 공격트래픽탐지 : 양방향 ShellCode 공격탐지, SQL 취약점공격, Web Server 취약점공격, FTP Server 취약점공격탐지 ( 악성코드에감염되어내부및외부서버를공격패턴을탐지 ) 악성코드탐지 : 양방향 Exploit, Malware, Trojan, Worm, Backdoor 패턴탐지 ( 패턴을분석하여악성코드에감염된 PC 를탐지 ) C&C 서버 : 악성코드가설치되어 C&C 서버와통신완료
8 사용자행동기반시그니처 APT 전용시그니처 Yara Ransomware C&C 자동차단
파일추출및분석 기존타사에서사용되는 Heuristic 방식이아닌 Suricata 방식을사용 Suricata 고속엔진을기본제공하여 Inbound( 내부 ) 로들어오는모든 (All) exe, dll, cap, hwp, pdf, doc, xls, ppt 파일을추출 추출된모든파일을 Z-Block에내장된가상머신에서행위분석 최대 128개 VM 확장가능 (ZB-U 기본 10개 ) 모든파일을행위분석하여알려지지않은악성코드분석 VM확장시일최대 184,000개파일탐지가능
분석상세내역 유입된 IP, 유입된 URI, 유입된 URL, 컨텐츠내용, Hash값, 파일사이즈, 행위분석상세내용등등파일에대한전반적인내용을레포팅 파일에대한모든내용을파악하여제공하므로신종변종탐지가탁월 SMTP 프로토콜로전송되는첨부파일을수집하여행위분석 checkfiledx.exe 행위분석 Code injection in process: C:\Windows\SysWOW64\taskkill.exe 윈도우프로세스강제종료 TaskKill.exe 탐지 Created process: null, "C:\Windows\system32\TaskKill.exe" /F /IM nate_as.exe, C:\Windows\system32 - 프로세스강제종료 Created process: null, "C:\Windows\system32\TaskKill.exe" /F /IM ntasvr.exe, C:\Windows\system32 - 프로세스강제종료 Created process: null, "C:\Windows\system32\TaskKill.exe" /F /IM opem.exe, C:\Windows\system32 - 프로세스강제종료 Detected keylogger functionality 키로거함수탐지 Detected privilege modification - 윈도우권한수정탐지 Detected process privilege elevation - 윈도우권한상승탐지 Traces of AutoStart registry key - 자동시작레지스트리등록탐지
악성프로세스미검출결과값
NORMAL SINKHOLE DNS TCP RESET Black Hacker C&C Server Black Hacker C&C Server Black Hacker C&C Server 2 URL 연결및 TCP SYN 세션 (C&C 서버통신및조종 ) 내부망 라우터 INTERNET DNS 서버 1 DNS 쿼리및응답 내부망 1 DNS 쿼리 라우터 INTERNET DNS 서버 1 TCP SYN 세션 내부망 라우터 INTERNET 방화벽 방화벽 방화벽 백본스위치 백본스위치 3 DNS 대신응답 Port Mirroring 2 DNS 쿼리미러링 Z-Block 4 N:1 차단모드로통신 백본스위치 Port Mirroring 2 TCP SYN 세션시포트미러링 Z-Block 3 N:1 TCP Reset 사용자그룹 사용자그룹 사용자그룹 URL 차단 URI Matching TCP Reset 차단
알려진 C&C Server 36,000 개자동차단되었으며 Ransomware C&C Server 도자동차단되어안전함
특허등록번호 10-1494329 기능설명 주요기능 Z-Block Agent 악성코드에감염된 PC 가해커의명령을받기위해조종서버 (C&C 서버 ) 로연결을시도할때동작프로세스를탐지및차단 악성도메인및 C&C 서버리스트는매일한국인터넷진흥원 (KISA), 개발사행위분석장비, 연동된타사제품에서탐지 PC 용시그니처는 PC 내백신및보안프로그램과충돌도없으며경량사이즈로속도저하없음 Z-Block 솔루션및타사모든제품과연동가능 Agent Lite C&C 및 BackDoor 서버통신프로세스탐지 악성프로세스, 실행파일, 설치디렉토리정보검출 검출정보선별차단 Agent Pro C&C 및 BackDoor 서버통신프로세스탐지 악성프로세스, 실행파일, 설치디렉토리정보검출 검출정보선별및차단 실시간침해대응포렌식역추적 ( 개발중 ) 24 시간원격관리및레포팅
특허등록번호 10-1494329 시그니처생성 1 Agent 통합관리 지사스위치 2 Z-Block 백본스위치 3 4 Z-Block 사용자그룹 사용자그룹 Z-Block Agent 1 실시간탐지내역을기반으로 Z-Block 에서 Agent용시그니처신규생성 2 Z-Block 에서생성된시그니처를모든 PC 가다운로드받아 APT 프로세스및실행파일, 설치디렉토리정보검출 Z-Block Agent 3 Agent에서탐지된 PC내 APT 프로세스및실행파일, 설치디렉토리정보를 Z-Block에실시간 Upload 4 모니터링된 Agent 내역을기반으로 APT 공격의악의적인프로세스및실행파일차단, 삭제
특허등록번호 10-1494329 악성프로세스개별및전체차단삭제 [ 프로세스차단체크시항시차단실행 -ex) 도스상에서 Taskkill.exe /F / T /IM setup.exe(kill 프로세스명 ) 기능적용 /Kill List 메모리상주 ] 차단된악성프로세스 PC 에파일저장 ( 기능예시 ) 차단안된악성프로세스 PC 에파일저장 ( 기능예시 )
Z-Block S 행위분석 본사 백본스위치 Z-Block U 사용자그룹 지역본부 Z-Block 100 Concept 조직규모 : 대규모 가상행위분석 : 자체구성 인터넷구성 : Split( 각로컬에서인터넷연결 ) 망분리여부 : 업무망과인터넷망병합 방화벽 적용대상 : 대기업, 금융 ( 보험 / 카드 ) 등 라우터 Explanation INTERNET 본사에 VM( 가상행위분석머신 ) 구축 인커넷망경유지 URL, 배포지 URI 탐지 / 차단 지역별규모에맞는 Z-Block 제품구성 지점 / 지사 모뎀 ZD-24G 대리점 본사 (Z-Block U) 에서최신업데이트 DB 전송 지사에서신 / 변종악성코드발견시본사로전달하여가상행위분석실행후재전달 Z-Block 50 C&C 서버 IP, URL 탐지 / 차단 사용자그룹 지사발생악성코드로컬제품으로탐지 / 차단 사용자그룹 단말의악성프로세스, 실행파일, 설치디렉토리정보검출필요시 Agent 설치 (Option)
Concept INTERNET 라우터 ( 인터넷 ) 방화벽 본사 백본스위치 망연계 (Inner) 조직규모 : 대규모 가상행위분석 : Z-Block S연계 인터넷구성 : Non-Split( 본사만인터넷연결 ) 망분리여부 : 업무망과인터넷망분리 적용대상 : 대기업, 공공, 금융 ( 은행 / 증권 ) 등 Z-Block U 사용자그룹 Explanation 행위분석 망연계 (Outer) 업무망 / 폐쇄망 지역본부지점 / 지사대리점 본사에망분리구성및망연계솔루션에의한내부망구성 Z-Block S이용한 VM( 가상행위분석머신 ) 연계 인터넷망에 Z-Block 구성하여악성코드탐지 인터넷망경유지 URL, 배포지 URI 탐지 / 차단 C&C 서버 IP, URL 탐지 / 차단 단말의악성프로세스, 실행파일, 설치디렉토리정보검출필요시 Agent 설치 (Option)
INTERNET 해킹된 Server 악성도메인탐지 웹제로데이공격탐지엔진 악성코드추출 가상행위분석 (1 차 ) 신 / 변종가상실행엔진 전세계약 100만개도메인고속방문탐지 - 한국도메인 20만개 문서 브라우저 - 한국에서접속하는해외도메인 150 만개 경유지 URL, 배포지 URI 탐지 Dropper 및배포지 URI 탐지 Dropper URI 추출 악성코드배포지 URI 추출 시그니처다운로드 C&C 도메인추출 시그니처생성 평판기반검증 (3 차 ) C&C 서버 URI 추출 (2 차 ) DB DB 저장 VirusTotal 평판기반검증 MD5 Hash, Domain, URI 의뢰 전세계약 50 여개사악성코드결과제공 C&C URI 추출 URI 탐지검출엔진 독자개발된 URI 탐지기법 ( 특허출원 ) 100% 일치 URI 탐지로오탐최소화
감염된 PC 의 Format 이최고의해결책은아닙니다 기업들은계속해서 APT 방어솔루션구축하고있지만 APT의오탐과백신의치료에대해서많은문제점을제시하고있습니다 APT에서는탐지되는데백신에서치료하지못해많은인력들이감염된 PC를 Format 조치를취하고있습니다 Z-Block 및 Z-Block Agent는악의적인 (C&C, BackDoor) 서버와통신을시도하는트래픽또는프로세스를정확하게탐지, 차단, 삭제하여 PC의 Format 조치를줄일수있는해결책을제시합니다 초고속으로진화하는악성코드에빠른대응제공 백신회사들은신종악성코드가발견되어분석하여치료까지걸리는시간은최소 1 개월이상걸립니다 Z-Block Agent 는어떤악성파일이라도 MD5 해쉬값이존재하므로해쉬값을추출하여프로세스를차단하므로가장빠른대응을고객사에제공합니다현존하는솔루션에서가장빠릅니다. EndPoint 솔루션도입으로고객사서버의안전성을제공 최근인터넷뱅킹및 HTS 등금융서비스를제공하는회사의이슈는메모리해킹입니다. 로그인된상태에서추가로악성코드가실행되어 서비스되는서버를공격하는형태가발생하기때문에이슈가되고있습니다. Z-Block Agent 는서버에로그인된후추가로실행되는프로세스를 검사하기때문에서비스되는서버의안전성을한층더보강할수있는기능을제공합니다.
X 해킹된웹서버 웹서핑 ( 우연 ) 스팸메일 APT( 작은악성코드 ) X 해커그룹 악성코드유포서버 X C&C 서버 X 1. 악성코드배포지 (URL) 차단효과 2. 악성코드배포지접속프로세스차단및삭제 Z-Block Agent ( 유일 ) 3. C&C 서버차단효과 4. C&C 서버접속프로세스차단효과 Z-Block Agent ( 유일 ) 5. 백신에서탐지안되는악성코드프로세스차단및삭제효과 Z-Block Agent ( 유일 ) 6. 암호화통신전악의적인프로세스차단및삭제효과 Z-Block Agent ( 유일 )
구분 악성코드수집 / 탐지 / 차단 Z-Block 50 Z-Block 500 Z-Block U Z-Block 10G 이미지 규격 Intel Pentium G860(3.0GHz) 16GB Memory 500GB SATA HDD LAN : 4x10/100/1000 Copper 1x10/100/1000(Mgmt) 1U/Single Power Supply VM * 1 개기본제공 Intel Xeon 2.4GHz QuadCore 32G Memory 1TB SATA HDD LAN : 4x10/100/1000 Copper 1x10/100/1000 Mgmt Redundant Power Supply VM * 3 개기본제공 Intel Xeon 2.4GHz Quad x2 64G Memory 1TB SATA HDD LAN : 4x10/100/1000 Copper 1x10/100/1000 Mgmt Redundant Power Supply VM * 6 개기본제공 ( 확장가능옵셥 ) Intel Xeon 2.6GHz Dodeca-Core (12Core) * 2 256G Memory, 외장 Memory SSD 500G * 1, SATA3 1T * 2 LAN : 4x10/100/1000 Copper 2x10G Copper 1x10/100/1000 Mgmt 2U/Redundant Power Supply VM * 64 개기본제공 ( 확장가능옵션 ) 기능 알려진시그니처 90 만개제공 URI Matching 탐지 / 차단 SinkHole DNS 기능 N:1 차단 TCP Kill 기능 N:1 차단 지사용 Blocking List 시그니처생성 알려진시그니처 90 만개제공 URI Matching 탐지 / 차단 SinkHole DNS 기능 N:1 차단 TCP Kill 기능 N:1 차단 지사용 Blocking List 시그니처생성 알려진시그니처 90 만개제공 URI Matching 탐지 / 차단 SinkHole DNS 기능 N:1 차단 TCP Kill 기능 N:1 차단 지사용 Blocking List 시그니처생성 알려진시그니처 90 만개제공 URI Matching 탐지 / 차단 ) SinkHole DNS 기능 N:1 차단 TCP Kill 기능 N:1 차단 지사용 Blocking List 시그니처생성 구분이미지규격기능 가상행위분석 (Option) Z-Block S Intel Xeon 2.6GHz Dodeca-Core (12Core) * 2 256G Memory, 외장 Memory SSD 500G * 2 LAN : 4x10/100/1000 Copper 2x10G Copper 1x10/100/1000 Mgmt 2U/Redundant Power Supply VM * 64 개기본제공 신 / 변종악성코드행위분석 가상머신內 Java, I/E, Firefox 브라우저포함 10 개이상의응용프로그램을이용한분석 Dropper Scanner( 특허출원중 ) 기능으로최초 Exploit 부터전체감염사이클탐지및분석 분석대상파일종류 pdf/ exe/ doc/ ppt/ xls/ dll/ zip/ rar/ hwp 등 악성프로세스검출 (Option) Z-Block Utility S/W(Agent) Z-Block Agent S/W Blocking URL, URI, IP List 에대한 Text 파일 바이러스백신엔진미포함 타바이러스엔진과프로그램충돌없음 악성프로세스탐지 / 검출차단 악성실행파일및설치디렉토리정보제공 Block List 5 분단위갱신 PULL 방식수령
대표이사 최성묵 Mobile : 010-6266-0901 Office : 031-705-0301 E-Mail : smchoi@tndsoft.com csm0107@gmail.com (13486) 경기도성남시분당구판교로 253 판교이노밸리 C 동 802 호