MCSI Responder Pro 메모리포렌식, 악성코드분석, 리버스엔지니어링솔루션 2015. 06
MCSI Responder Pro 소개 메모리내의각종어플리케이션정보수집 라이브메모리기반정보수집및분석 실행프로세스및오픈파일정보분석 Unknown, APT, Zero-Day 악성코드탐지및분석 악성코드자동화리버싱 Rootkit & Trojans 탐지및분석 Digital DNA 기능을이용한악성패턴탐지
Responder Pro 제품장점 최신 APT 및 Zero-Day 공격탐지및분석 메모리분석을통한 신종및변종 악성코드탐지 프로세스가사용중인 DLL, SYS 파일분석 DLL에서 Export 된 API함수분석 시스템에서실행중인모듈에대해 Binary 및 String 분석을통해악성코드행동패턴분석
Responder Pro 제품장점 ( 계속 ) 윈도우메모리이미지분석 REcon 샌드박스기능을이용한악성코드동적분석 행위분석을통한악성코드탐지 은밀하게활동하는악성코드의안티포렌식기술파악 패킹, 난독화가적용된악성코드에대한대응가능 메모리이미징도구 FastDump Pro 포함 Digital DNA 를이용한알려지지않은최신악성코드탐지 암호, 암호화키, 검색기록및기타포렌식데이터등디지털요소재가공 감염방법, 파일, 엑세스된레지스트리키, 네트워크행위와 기타다양한사항에대해정확하고신속한위협요소탐지
Responder Pro 제품장점 ( 계속 ) 악성코드행위추적을위한 상세분석기능제공
Responder Pro 제품장점 ( 계속 ) 실행중인프로세스목록 파일관련이벤트 레지스트리관련이벤트 네트워크연결관련분석 Listening 포트탐지 루트킷탐지 (SSDT 분석 ) 프로세스별위험도분석 암호화되지않은데이터 Clear text 로표시된암호및문서데이터 이메일및메신저대화 Keystroke logger Rooktit Trojan Botnet Ransomware Banking Trojan Polymorphic code 포렌식측면에서의안전한메모리분석조사수행 -> 자세하고디테일한결과출력
제품주요기능 (1) Digital DNA DIGITAL DNA 란? 기존보안솔루션들의악성코드탐지방식에서벗어나 모듈의행위를통해악성코드를판별하는 MCSI 특허기술 제로데이, 루트킷, 다른형태의위협을탐지하기위한자동화리버스엔지니어링및물리적메모리분석가능 사전위협탐지, 진단, 대응 안티바이러스들이탐지하지못하는 Unknown Malware 및 APT 형악성코드를행위기반 (Digital DNA) 으로탐지
제품주요기능 (1) Digital DNA( 계속 ) DIGITAL DNA 시그니처 IOCS 휴리스틱에의존 메모리내의모든실행코드에대한자동리버싱분석수행 MCSI 의악성코드게놈데이터베이스와일치하는지확인 Good, Bad, Warning 으로분류하여위험등급적용
제품주요기능 (2) 악성행위표시 악성코드감염경로, 파일, 액세스한레지스트리키정보, 네트워크행위등에대한행위적인인텔리전스를제공 위험평가를한눈에볼수있는 Digital DNA 의직관적인인터페이스 MCSI 멀웨어게놈 DB 와비교를통하여 프로세스의위험수치부과, 위험도가높은순서로정보제공
제품주요기능 (2) 악성행위표시 ( 계속 ) 악성코드키로깅행위탐지 키로깅 (Keylogging) : 사용자가키보드나마우스로입력하는값을 몰래탈취하는행위 악성코드패킹탐지 패킹 (Packing) : 악성코드가자신의코드를분석하기못하게 하기위해적용하는보호기법
제품주요기능 (2) 악성행위표시 ( 계속 ) 파밍악성코드호스트파일변조행위탐지 파밍 (Farming) : 호스트파일을변조하여사용자를 피싱사이트로유도하는기법 코드인젝션행위탐지 인젝션 (Injection) : 타프로세스에코드나 DLL 등을강제로 주입하고실행하여공격자가원하는동작을하게만드는기법
제품주요기능 (3) REcon Sandbox 특정시간대의악성행위유무를 그래프를통해파악가능 타임라인기반행위분석
제품주요기능 (3) REcon Sandbox( 계속 )
제품주요기능 (3) REcon Sandbox( 계속 )
제품주요기능 (3) REcon Sandbox( 계속 )
제품주요기능 (3) REcon Sandbox( 계속 )
제품주요기능 (4) 다양한메모리분석기능 물리적메모리분석기능 원격메모리덤프기능 Malware 동적분석기능 Static Binary 분석기능 6/12
제품주요기능 (4) 다양한메모리분석기능 ( 계속 ) 원격덤프기능선택 원격분석기능인 Remote Memory Snapshot 를통하여 원격메모리덤프후메모리분석가능
제품주요기능 (4) 다양한메모리분석기능 ( 계속 ) 원격덤프시사용하는포트허용설정 TCP 445 를사용하므로, 방화벽에서포트허용을해주고 방화벽을 OFF 하는설정
제품주요기능 (4) 다양한메모리분석기능 ( 계속 ) 연결테스트 ( 성공시 Successfully 메시지출력 ) 원격덤프를진행할대상정보입력 대상의 IP 와관리자계정정보를입력하여원격으로 메모리덤프및분석기능제공
제품주요기능 (4) 다양한메모리분석기능 ( 계속 ) Digital DNA 위험도분석 각종악성코드탐지및분석결과상세리포팅 자동화리버스엔지니어링 Digital DNA 를통한위험모듈핵심행위분석
제품주요기능 (4) 다양한메모리분석기능 위험등급 / 수치부여 각파일또는모듈의행동을파악하여위험위험등급과등급과수치를수치를부과하여부과하여높은높은순서대로순서대로보여준다표시.
제품주요기능 (4) 다양한메모리분석기능 고위험프로세스표시 Digital DNA 로위험지수를매겨, 가장높은위험지수를 가진프로세스를사용자에게표시 의심스러운모듈또는프로세스표시 분석된모듈또는프로세스중에서 악성코드로의심이되는프로세스의정보를제공
제품주요기능 (4) 다양한메모리분석기능 자동화리버스엔지니어링기능 분석된모듈또는프로세스의바이너리코드를표현하며, 디스어셈블기능을제공하며메모리상의코드를디스어셈블하고바이너리코드를표현하기에기법이적용되지않은코드또한존재
제품주요기능 (4) 다양한메모리분석기능 Digital DNA 를통한위험모듈핵심행위분석 퍼즐의색깔이붉은색이가까울수록 위험한행위로판별
제품주요기능 (4) 다양한메모리분석기능 Network 세션및오픈포트정보분석 레지스트리정보분석 시스템드라이버정보분석 실행프로세스및오픈파일정보분석
제품주요기능 (4) 다양한메모리분석기능 네트워크통신을하는 Src 와 Dst 주소및 통신의타입정보제공 프로세스별네트워크사용정보제공 어떤프로세스와어디와통신을맺고있는지 All open Network Sockets 에서정보제공
제품주요기능 (4) 다양한메모리분석기능 프로세스별레지스트리사용내역제공 사용한레지스트리경로, 레지스트리키파일이름등 정보제공
제품주요기능 (4) 다양한메모리분석기능 시스템드라이버파일정보제공 시스템드라이버파일의이름을제공되며, 또한 드라이버파일의위험등급, 파일의은닉여부등제공
제품주요기능 (4) 다양한메모리분석기능 프로세스별사용한파일정보제공 각프로세스가사용한파일의이름, 경로정보를 제공
제품주요기능 (4) 다양한메모리분석기능 자동화된 String 분석제공 Timeline 동적분석기능 함수호출경로그래픽제공 분석중발견된 Key 및 Password 제공
제품주요기능 (4) 다양한메모리분석기능 프로세스별 String 문자열데이터제공 각프로세스가가지고있는 String 문자열데이터를 분석하여제공
제품주요기능 (4) 다양한메모리분석기능 시간대별행동유무 그래프표시를통하여 악성코드의행동유무를제공 프로세스별사용한파일정보제공 각프로세스가사용한파일의이름, 경로정보를 제공
제품주요기능 (4) 다양한메모리분석기능 함수의호출흐름파악 사용자가지정하여원하는함수의흐름 그래픽제공
제품주요기능 (4) 다양한메모리분석기능 메모리상에올라간 Key 값및 P/W 값제공 메모리분석을통해메모리내의 저장된사용자아이디값이나패스워드값을추출하여표시
주요고객사 공공기관정부산하기관일반기업 36
Thank You! CONTACT US Email: insec@insec.co.kr 영업대표 : 김종광 Phone : 010-8761-6999 Call : 02-863-5687 공식홈페이지 : www.insec.co.kr 37