헤제크 (HEZEK-NSD) 악성코드탐지및차단솔루션 Ⅲ- 1
1 제품선정근거및특장점 HEZEK 는악성코드가행동하는모든행위를감시하고추적하여그행위를조합하여그시나리오매칭알고리즘에의한악성코드를판단하고실시간으로탐지하며악성코드의행동을시그니처로제공하여신 / 변종의악성코드에대한수집및분석을합니다 제품소개및주요특장점 제품소개 제품요약 HEZEK NSD 하드웨어일체형 Appliance 제품패킷 Filtering 엔진 : IDS 엔진을내장하고있으며 Filtering 을통한감시대상선별네트웍통계엔진 : ip/port/protocol 에의한통계하부단말식별및통계생성파일수집엔진 : 실행가능한파일들을수집설정된채널수만큼 VMOS 채널을유지하며실행분석악성파일해시코드자동생성및유통차단기능 In/Out 양방향지원 주요기능및규격 주요기능및규격 쿼드코어 (2.4Ghz) * 2 개, 24GB 메모리, 500G HDD, 6 개의 10/100/1000BaseT, Dual Power, FAN 최대 12 개의가상 OS 신 / 변종악성코드분석을위한가상 OS 를통한시나리오기반동적휴리스틱탐지 ( Dynamic Heuristic Detection ) 정적악성코드분석 ( Static Analyzer ) 제품의우수기능 신 / 변종악성코드탐지기술특허 탐지및분석성능의우수성 이상행동기반유해프로그램검출시스템및그방법 ( 등록번호 :10-0733387) 외다수특허보유행위기반탐지기술및시그니쳐자동생성기술보유동적, 정적분석을통한분석및파일수집 12 개이상의가상 OS 구동을통한신속한분석 쉽고편리한관리기능 다수의장비를통합관리할수있는관리모듈 Syslog, SNMP, ESM 연동기능 Ⅲ- 2
1 제품선정근거및특장점 ( 계속 ) 제품특장점 구분내용 우수한처리성능 신종 / 변종악성코드의수집에서분석까지 1-10초이내에처리 12 개의가상머신 (Virtual machine) 이동시에작업수행 기술의우수성 특허기반의가상머신, 행위기반, 프로세스분석등다양한기술을적용하여 위협적인코드에대한분석을통합적으로적용 순수국내기술기반제품으로국정원 CC 인증심사평가계약체결 행위기반의시나리오기반동적탐지기능을적용하여알려지지않은신 / 변종의 악성코드에대해서도정확하게검출 주요기술 시그니쳐기반의탐지기능을적용하여알려진코드에대한재분석을수행하지 않음 악성코드분석후악성코드로분류된코드의수집을위한자동화된처리와전송이 가능 광범위한시나리오편집및적용기술을통한악성코드실시간탐지및차단 Ⅲ- 3
6. 제품세부기능 헤제크 NSD 는인터넷망에서유입유출되는패킷에대해 IP/Port/ 프로토콜규약에따른통계를실시간으로생성트래픽을증가시키는말단의 PC를식별하며, 유입된코드중자체시크니쳐비교엔진을통한악성코드의검출, 가상화 OS 를통한행위기반검출, 바이러스엔진을통한검출등을수행하여알려진 / 알려지지않은악성코드에대한 Zero-Day 공격을최소화시킬수있는보안솔루션입니다. 12개이상의 VMOS는악성코드를고속으로검사하고, 실행가능한코드샘플을수집합니다. HEZEK NSD 개요 인터넷 웹매니져 보안관리자 VMOS: 가상 Windows 가상 채널 1 악성코드검사 침입검출및차단 채널 2 악성코드검사 고속 고속 database VM controller 채널 3 악성코드검사 네트웍통계 파일수집기 채널 n 악성코드검사 Ⅲ- 4
HEZEK 시스템구성도 기술아키텍쳐 Packet 수집엔진을통한패킷의수집및정돈 수집된패킷의분류별정보저장및통계 VMOS 를통한악성코드의검출 Database 파일 1 VMOS 웹매니져 Filtering 엔진 IDS/ IPS Network 통계엔진 파일수집기 시그니쳐자동갱신 패킷처리부분패킷꺼내기 Ring buffer list 1 2 n n+1 패킷 ip_queue 패킷수집엔진 Pcap Packet Capture 모듈 iptable_filter Gigabit NIC Mirror (TX) (RX) network Sending Gigabit NIC Local Network Gigabit NIC - 미러링포트를이용하여실제사용자트래픽을양방향으로복제 - Packet 의검사 - Packet 의분류및저장 - IP, Port, MAC, URL 별통계 - 동일유형에대한내부단말 IP 및 Dest IP 통계를통한외부통신서버 (C&C 등 ) 검출 - 실행가능한 File 을수집하고, 시그니처분석수행 - 시그니쳐가없는 File 은 VMOS 엔진을통해가상환경에서실행 - 가상환경에서의위협검출및결과저장 - 수집된위협 File 저장및신규시그니처생성 Ⅲ- 5
동적악성코드검출시나리오 정적 / 동적휴리스틱탐지기법을활용한이상행동검출 악성코드의시그니쳐를 VMOS 를통해자체생성 악성판정시나리오를통한악성코드검출 Internet Internet 패킷필터링엔진 패킷필터링엔진의시그니쳐는패킷이수집될때마다패킷과비교하여악성패킷을검출함 새로운 A/T 엔진시그니쳐로등록 VMOS 에서실행 / 분석, VM Clone 삭제 / 복귀 파일수집엔진 파일에대한시그니쳐계산 파일의시그니쳐가 DB 에존재? NO 시그니처등록 Yes 동적시 나리오 파일수집엔진은 HTTP,FTP, SMTP, POP, IMAP 프로콜로전송되는설정된포맷형식의파일을수집함. 수집되는악성파일들은 VMOS 에서분석 악성파일을직접 VMOS 에서 Taint 시켜악성판정시나리오 ( 동적휴리스틱의시그니쳐 ) 와비교하여악성행위를분석하고악성파일로판정될경우전체크기의파일에대한시그니쳐를 DB 에등록하고 VM Clone 을삭제하고다시복귀함. 만일동일한악성파일이수집되면그파일에대한같은시그니처값이존재하면 VMOS 에서행위검출을하지않고바로 Malware 로검출완료함. 동적휴리스틱탐지기법은시나리오 ( 동적휴리스틱시그니쳐 ) 에의하여이상행동을검출하는기법으로서어떤악성파일의행위를감시하면서그행위가시나리오와일치하는경우이상행동으로인정하고검출하는방법임. 사용자의요구에따라동적휴리스틱시그니쳐인시나리오를추가 / 변경 / 삭제. 의심되는파일에대하여미탐이발생하는경우새로운시나리오 ( 동적휴리스틱시그니쳐 ) 를추가. 이미존재하는시나리오를이용하여검출을진행할때오탐이발생하는경우시나리오를변경 / 삭제. 시나리오는여러형태의액션으로구성되며액션들에는파라미터를추가할수있어시나리오를보다상세화가능. 시그니쳐값비교방식이행동시그니쳐자동갱신과차이 동적휴리스틱탐지를위한시그니쳐로서액션들로시나리오가구성됨 시그니쳐를수동으로추가및변경, 삭제가능. 시나리오편집기술에따른오탐의최소화가능 Ⅲ- 6
시그니쳐자동갱신 DDOS 공격을탐지하기위한시그니처가내장되어있으며, 새로수집된악성코드는 VMOS 를통한모의실행의결과에따라새로운시그니쳐로등록되며, Master DB 를통해개별분산 NSD 에저장되어, 분석및수집을용이하게함 시그니쳐 ( 내장 + 자동갱신 ) 와패킷비교 동일여부? no 패킷필터링엔진의동작상황 내장된시그니쳐 Parsing VMOS(Win XP) 에서공격모의 성공? yes 예 초기작동시 Parsing 자동갱신으로인한시그니쳐수증가 DB 에검출내역등록 완료 DB 에검출내역및시그니쳐자동 Update 모의공격로인한피해복귀 패킷필터링엔진의잘알려진내장시그니쳐는파일로암호화되어보관되어있으며초기작동시 Parsing 하여악성패킷의실시간검출에이용됨. 이시그니쳐는 DDoS, Exploit 공격을탐지하기위한시그니쳐임. VM 에서검출된공격패킷은모의공격에성공하면 DB 에시그니쳐를자동갱신하고모의공격으로인한피해를다시원래상태로복귀하고다음의악성패킷모의공격를대기함. 이때 NSD 에내장된시그니쳐는 NSD 장비마다같으므로상호공유를필요로하지않으며 VM 에서검출하여추가된시그니쳐만이그개수의차이로공유를필요로한다. VM 에서검출된시그니쳐와같은공격패킷이수집되는경우다시 VM 에서검사를하지않고바로악성패킷검출된것으로 Report. Ⅲ- 7
행위분석을통한신규시그니처생성 동적행위분석을통한신규시그니처를생성 기존및신규시그니처에의한악성코드분석 동적행위분석 신규시그니처생성 Ⅲ- 8
동적휴리스틱엔진을통한분석항목 동적휴리스틱탐지기법은이상행동을검출하는기법 시나리오 ( 동적휴리스틱시그니쳐 ) 에의하여 악성파일의행위를감시하면서그행위가시나리오와일치하는경우이상행동으로인정하고검출하는방법 다른프로세스에실행코드나 Dll 을 Inject 여부판단.( 다른프로세스의메모리영역에코드를삽입한다음원격으로해당한코드를실행시키는경우 ) 임의의실행파일들을감염시키는경우 시스템의중요자원들을등록 / 변경 / 삭제하는경우 보안계정관리자파일이나 IE 패스워드파일에접근하는경우 ( 개인계정정보를절취하기위해보안계정관리자파일이나 IE 패스워드보관파일에접근하는경우 ) 시스템에설치된보안프로그램들을끄기하는경우 악성프로세스를창조하는경우 시스템파일들을삭제하는경우 물리적메모리에접근시도하는경우 다른드라이버를 Unload 하는경우 ( 보안프로그램감시로부터자신의악의적인동작을은폐시키기위해보안관련드라이버를 Unload 하는경우 ) 행위타입 Action Param 행위타입 Action Param file create 파일경로 read 파일경로 modify 파일경로 delete 파일경로 rename 소스파일경로 Registry Host file Registrykey System setuo Registrykey Internet Security Registrykey IE Setting Registrykey IE Plugins Registrykey System Security Registrykey System Service Registrykey APPINITDLL Registrykey Memory Access physical memory Allocate memory Write memory process process 실행파일명 실행파일명 Process Create 실행파일경로 Thread Open Terminate Hide Create 실행파일명 실행파일명 실행파일명 Network Connect IP, port Driver Listen Load, Unload IP, port Ⅲ- 9
파일수집 HEZEK NSD 는수집가능한파일의용략및확장자설정이가능하며, 필터링엔진은실시간실행가능한또는특정의설정된파일을수집하고분석함 필터링엔진을통한실행가능한또는특정 Format 의파일수집 수집파일의용량제한및확장자설정 Ⅲ- 10
Attack 분석 HEZEK NSD 는실시간공격시도및공격 Pattern 을분석결과를관리화면에실시간 Display 함 실시간공격시도분석 실시간 Attack Pattern 분석및 IP 정보, 실행파일현황분석 Ⅲ- 11
관리 HEZEK NSD 는악성코드및파일에대한실시간통계에대한관리자리포트를보여주며 자체시스템안정성을위한시스템성능카운터및기초정보를제공함 악성코드, 악성파일실시간통계 NSD 시스템통계 Ⅲ- 12