(Microsoft PowerPoint - \307\354\301\246\305\251_\301\246\276\310\300\332\267\341_N_00_\300\317\271\335_pd_009)

Similar documents
슬라이드 0

Secure Programming Lecture1 : Introduction

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

ODS-FM1

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인


PowerPoint 프레젠테이션

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

1217 WebTrafMon II


Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

공개 SW 기술지원센터

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

10X56_NWG_KOR.indd

chapter4

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

기존보안솔루션의한계 최근발생하는타깃공격과위협은각종은닉기법과사회공학적공격을이용해기존보안솔루션을우회하는특징이있습니다. 그래서기존보안솔루션만으로는이렇게고도화된최신공격을대응하기에는한계가있습니다. 알려지지않은악성코드탐지불가 파일기반분석이필요한악성코드탐지불가 허용된주소를통한악성코

PowerPoint Presentation

vm-웨어-01장

TGDPX white paper

*2008년1월호진짜

Microsoft PowerPoint - thesis_rone.ppt

!K_InDesginCS_NFH

6강.hwp

제20회_해킹방지워크샵_(이재석)

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

ARMBOOT 1

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

Cloud Friendly System Architecture

부서: 기획감사실 정책: 지방행정 역량 강화 단위: 군정운영 및 의회협력 행정협의회 분담금 20,000,000원*1식 20, 행사운영비 2,000 2,000 0 행정협의회 지원 2,000,000원*1식 2,000 의원상해 지원 36,000 36,

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

untitled

TTA Journal No.157_서체변경.indd

UDP Flooding Attack 공격과 방어

Today s Challenge 급속도로증가하는트래픽 최근들어, 스마트폰, 태블릿 PC 등모바일단말기의증가와 VoIP, IPTV, 화상회의등 IP 기반애플리케이션의수요증가로인해네트워크상의트래픽은 예년에없던급증세를타고있습니다. 한조사기관에따르면, 2015 년까지 IP 트

Microsoft PowerPoint - eSlim SV [ ]

슬라이드 1

<4D F736F F D20C3D6C1BE202D D E7420B1E2B9DD20B4DCB8BB20C8A3BDBAC6AE20BFEEBFB5C3BCC1A620C0DAB5BF20C6C7BAB02E646F63>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

차세대 방화벽 기능 애플리케이션 컨트롤 는 차세대 보안 기술인 애플리케이션 컨트롤(Application Control) 기능을 탑재해 P2P / 웹하드 / 메신저(Instant Messenger) / SNS 등 수 천 개의 글로벌 / 국내 애플리케이션에 대해 실시간 분

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

DBMS & SQL Server Installation Database Laboratory

슬라이드 1

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3


USER GUIDE

untitled

Network seminar.key

안전을 위한 주의사항 제품을 올바르게 사용하여 위험이나 재산상의 피해를 미리 막기 위한 내용이므로 반드시 지켜 주시기 바랍니다. 2 경고 설치 관련 지시사항을 위반했을 때 심각한 상해가 발생하거나 사망에 이를 가능성이 있는 경우 설치하기 전에 반드시 본 기기의 전원을

<목 차 > 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3

Microsoft PowerPoint - eSlim SV [080116]

유해트래픽통합관리시스템_MetroWall

PowerPoint 프레젠테이션

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

manual pdfÃÖÁ¾

SMB_ICMP_UDP(huichang).PDF

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

<49534F C0CEC1F520BBE7C8C4BDC9BBE720C4C1BCB3C6C320B9D D20BDC3BDBAC5DB20B0EDB5B5C8AD20C1A6BEC8BFE4C3BBBCAD2E687770>

Microsoft PowerPoint - 30.ppt [호환 모드]

#WI DNS DDoS 공격악성코드분석

Microsoft Word - ZIO-AP1500N-Manual.doc

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

vm-웨어-앞부속

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

슬라이드 제목 없음

지능형위협대응솔루션 차별적인위협가시성제공 네트워크와엔드포인트레벨의유기적대응 탐지 분석 모니터링 대응 제품개요 AhnLab MDS(Malware Defense System) 는차별적인위협가시성기반의지능형위협 (APT, Advanced Persistent Threat) 대

Secure Programming Lecture1 : Introduction


PowerPoint Presentation

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

슬라이드 1

악성코드분석보고서 (Lucci.exe) 작성자 : 김진태 1

CR HI-TAM 4.0 인증보고서 인증번호 : CISS 년 12 월 IT 보안인증사무국

1.LAN의 특징과 각종 방식

공지사항

Red Alert Malware Report


Dropbox Forensics

일반적인 네트워크의 구성은 다음과 같다

Intra_DW_Ch4.PDF

07_alman.hwp

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

hd1300_k_v1r2_Final_.PDF

Microsoft Word - Automap3

Microsoft Word - zfs-storage-family_ko.doc

PCServerMgmt7

User's Guide Manual

Transcription:

헤제크 (HEZEK-NSD) 악성코드탐지및차단솔루션 Ⅲ- 1

1 제품선정근거및특장점 HEZEK 는악성코드가행동하는모든행위를감시하고추적하여그행위를조합하여그시나리오매칭알고리즘에의한악성코드를판단하고실시간으로탐지하며악성코드의행동을시그니처로제공하여신 / 변종의악성코드에대한수집및분석을합니다 제품소개및주요특장점 제품소개 제품요약 HEZEK NSD 하드웨어일체형 Appliance 제품패킷 Filtering 엔진 : IDS 엔진을내장하고있으며 Filtering 을통한감시대상선별네트웍통계엔진 : ip/port/protocol 에의한통계하부단말식별및통계생성파일수집엔진 : 실행가능한파일들을수집설정된채널수만큼 VMOS 채널을유지하며실행분석악성파일해시코드자동생성및유통차단기능 In/Out 양방향지원 주요기능및규격 주요기능및규격 쿼드코어 (2.4Ghz) * 2 개, 24GB 메모리, 500G HDD, 6 개의 10/100/1000BaseT, Dual Power, FAN 최대 12 개의가상 OS 신 / 변종악성코드분석을위한가상 OS 를통한시나리오기반동적휴리스틱탐지 ( Dynamic Heuristic Detection ) 정적악성코드분석 ( Static Analyzer ) 제품의우수기능 신 / 변종악성코드탐지기술특허 탐지및분석성능의우수성 이상행동기반유해프로그램검출시스템및그방법 ( 등록번호 :10-0733387) 외다수특허보유행위기반탐지기술및시그니쳐자동생성기술보유동적, 정적분석을통한분석및파일수집 12 개이상의가상 OS 구동을통한신속한분석 쉽고편리한관리기능 다수의장비를통합관리할수있는관리모듈 Syslog, SNMP, ESM 연동기능 Ⅲ- 2

1 제품선정근거및특장점 ( 계속 ) 제품특장점 구분내용 우수한처리성능 신종 / 변종악성코드의수집에서분석까지 1-10초이내에처리 12 개의가상머신 (Virtual machine) 이동시에작업수행 기술의우수성 특허기반의가상머신, 행위기반, 프로세스분석등다양한기술을적용하여 위협적인코드에대한분석을통합적으로적용 순수국내기술기반제품으로국정원 CC 인증심사평가계약체결 행위기반의시나리오기반동적탐지기능을적용하여알려지지않은신 / 변종의 악성코드에대해서도정확하게검출 주요기술 시그니쳐기반의탐지기능을적용하여알려진코드에대한재분석을수행하지 않음 악성코드분석후악성코드로분류된코드의수집을위한자동화된처리와전송이 가능 광범위한시나리오편집및적용기술을통한악성코드실시간탐지및차단 Ⅲ- 3

6. 제품세부기능 헤제크 NSD 는인터넷망에서유입유출되는패킷에대해 IP/Port/ 프로토콜규약에따른통계를실시간으로생성트래픽을증가시키는말단의 PC를식별하며, 유입된코드중자체시크니쳐비교엔진을통한악성코드의검출, 가상화 OS 를통한행위기반검출, 바이러스엔진을통한검출등을수행하여알려진 / 알려지지않은악성코드에대한 Zero-Day 공격을최소화시킬수있는보안솔루션입니다. 12개이상의 VMOS는악성코드를고속으로검사하고, 실행가능한코드샘플을수집합니다. HEZEK NSD 개요 인터넷 웹매니져 보안관리자 VMOS: 가상 Windows 가상 채널 1 악성코드검사 침입검출및차단 채널 2 악성코드검사 고속 고속 database VM controller 채널 3 악성코드검사 네트웍통계 파일수집기 채널 n 악성코드검사 Ⅲ- 4

HEZEK 시스템구성도 기술아키텍쳐 Packet 수집엔진을통한패킷의수집및정돈 수집된패킷의분류별정보저장및통계 VMOS 를통한악성코드의검출 Database 파일 1 VMOS 웹매니져 Filtering 엔진 IDS/ IPS Network 통계엔진 파일수집기 시그니쳐자동갱신 패킷처리부분패킷꺼내기 Ring buffer list 1 2 n n+1 패킷 ip_queue 패킷수집엔진 Pcap Packet Capture 모듈 iptable_filter Gigabit NIC Mirror (TX) (RX) network Sending Gigabit NIC Local Network Gigabit NIC - 미러링포트를이용하여실제사용자트래픽을양방향으로복제 - Packet 의검사 - Packet 의분류및저장 - IP, Port, MAC, URL 별통계 - 동일유형에대한내부단말 IP 및 Dest IP 통계를통한외부통신서버 (C&C 등 ) 검출 - 실행가능한 File 을수집하고, 시그니처분석수행 - 시그니쳐가없는 File 은 VMOS 엔진을통해가상환경에서실행 - 가상환경에서의위협검출및결과저장 - 수집된위협 File 저장및신규시그니처생성 Ⅲ- 5

동적악성코드검출시나리오 정적 / 동적휴리스틱탐지기법을활용한이상행동검출 악성코드의시그니쳐를 VMOS 를통해자체생성 악성판정시나리오를통한악성코드검출 Internet Internet 패킷필터링엔진 패킷필터링엔진의시그니쳐는패킷이수집될때마다패킷과비교하여악성패킷을검출함 새로운 A/T 엔진시그니쳐로등록 VMOS 에서실행 / 분석, VM Clone 삭제 / 복귀 파일수집엔진 파일에대한시그니쳐계산 파일의시그니쳐가 DB 에존재? NO 시그니처등록 Yes 동적시 나리오 파일수집엔진은 HTTP,FTP, SMTP, POP, IMAP 프로콜로전송되는설정된포맷형식의파일을수집함. 수집되는악성파일들은 VMOS 에서분석 악성파일을직접 VMOS 에서 Taint 시켜악성판정시나리오 ( 동적휴리스틱의시그니쳐 ) 와비교하여악성행위를분석하고악성파일로판정될경우전체크기의파일에대한시그니쳐를 DB 에등록하고 VM Clone 을삭제하고다시복귀함. 만일동일한악성파일이수집되면그파일에대한같은시그니처값이존재하면 VMOS 에서행위검출을하지않고바로 Malware 로검출완료함. 동적휴리스틱탐지기법은시나리오 ( 동적휴리스틱시그니쳐 ) 에의하여이상행동을검출하는기법으로서어떤악성파일의행위를감시하면서그행위가시나리오와일치하는경우이상행동으로인정하고검출하는방법임. 사용자의요구에따라동적휴리스틱시그니쳐인시나리오를추가 / 변경 / 삭제. 의심되는파일에대하여미탐이발생하는경우새로운시나리오 ( 동적휴리스틱시그니쳐 ) 를추가. 이미존재하는시나리오를이용하여검출을진행할때오탐이발생하는경우시나리오를변경 / 삭제. 시나리오는여러형태의액션으로구성되며액션들에는파라미터를추가할수있어시나리오를보다상세화가능. 시그니쳐값비교방식이행동시그니쳐자동갱신과차이 동적휴리스틱탐지를위한시그니쳐로서액션들로시나리오가구성됨 시그니쳐를수동으로추가및변경, 삭제가능. 시나리오편집기술에따른오탐의최소화가능 Ⅲ- 6

시그니쳐자동갱신 DDOS 공격을탐지하기위한시그니처가내장되어있으며, 새로수집된악성코드는 VMOS 를통한모의실행의결과에따라새로운시그니쳐로등록되며, Master DB 를통해개별분산 NSD 에저장되어, 분석및수집을용이하게함 시그니쳐 ( 내장 + 자동갱신 ) 와패킷비교 동일여부? no 패킷필터링엔진의동작상황 내장된시그니쳐 Parsing VMOS(Win XP) 에서공격모의 성공? yes 예 초기작동시 Parsing 자동갱신으로인한시그니쳐수증가 DB 에검출내역등록 완료 DB 에검출내역및시그니쳐자동 Update 모의공격로인한피해복귀 패킷필터링엔진의잘알려진내장시그니쳐는파일로암호화되어보관되어있으며초기작동시 Parsing 하여악성패킷의실시간검출에이용됨. 이시그니쳐는 DDoS, Exploit 공격을탐지하기위한시그니쳐임. VM 에서검출된공격패킷은모의공격에성공하면 DB 에시그니쳐를자동갱신하고모의공격으로인한피해를다시원래상태로복귀하고다음의악성패킷모의공격를대기함. 이때 NSD 에내장된시그니쳐는 NSD 장비마다같으므로상호공유를필요로하지않으며 VM 에서검출하여추가된시그니쳐만이그개수의차이로공유를필요로한다. VM 에서검출된시그니쳐와같은공격패킷이수집되는경우다시 VM 에서검사를하지않고바로악성패킷검출된것으로 Report. Ⅲ- 7

행위분석을통한신규시그니처생성 동적행위분석을통한신규시그니처를생성 기존및신규시그니처에의한악성코드분석 동적행위분석 신규시그니처생성 Ⅲ- 8

동적휴리스틱엔진을통한분석항목 동적휴리스틱탐지기법은이상행동을검출하는기법 시나리오 ( 동적휴리스틱시그니쳐 ) 에의하여 악성파일의행위를감시하면서그행위가시나리오와일치하는경우이상행동으로인정하고검출하는방법 다른프로세스에실행코드나 Dll 을 Inject 여부판단.( 다른프로세스의메모리영역에코드를삽입한다음원격으로해당한코드를실행시키는경우 ) 임의의실행파일들을감염시키는경우 시스템의중요자원들을등록 / 변경 / 삭제하는경우 보안계정관리자파일이나 IE 패스워드파일에접근하는경우 ( 개인계정정보를절취하기위해보안계정관리자파일이나 IE 패스워드보관파일에접근하는경우 ) 시스템에설치된보안프로그램들을끄기하는경우 악성프로세스를창조하는경우 시스템파일들을삭제하는경우 물리적메모리에접근시도하는경우 다른드라이버를 Unload 하는경우 ( 보안프로그램감시로부터자신의악의적인동작을은폐시키기위해보안관련드라이버를 Unload 하는경우 ) 행위타입 Action Param 행위타입 Action Param file create 파일경로 read 파일경로 modify 파일경로 delete 파일경로 rename 소스파일경로 Registry Host file Registrykey System setuo Registrykey Internet Security Registrykey IE Setting Registrykey IE Plugins Registrykey System Security Registrykey System Service Registrykey APPINITDLL Registrykey Memory Access physical memory Allocate memory Write memory process process 실행파일명 실행파일명 Process Create 실행파일경로 Thread Open Terminate Hide Create 실행파일명 실행파일명 실행파일명 Network Connect IP, port Driver Listen Load, Unload IP, port Ⅲ- 9

파일수집 HEZEK NSD 는수집가능한파일의용략및확장자설정이가능하며, 필터링엔진은실시간실행가능한또는특정의설정된파일을수집하고분석함 필터링엔진을통한실행가능한또는특정 Format 의파일수집 수집파일의용량제한및확장자설정 Ⅲ- 10

Attack 분석 HEZEK NSD 는실시간공격시도및공격 Pattern 을분석결과를관리화면에실시간 Display 함 실시간공격시도분석 실시간 Attack Pattern 분석및 IP 정보, 실행파일현황분석 Ⅲ- 11

관리 HEZEK NSD 는악성코드및파일에대한실시간통계에대한관리자리포트를보여주며 자체시스템안정성을위한시스템성능카운터및기초정보를제공함 악성코드, 악성파일실시간통계 NSD 시스템통계 Ⅲ- 12