인터넷을 사용하거나, 다른 사람이 사용하던 USB를 가져와 파일을 복사할 때에 악성 프로그램(바이러스, 트로이 목마)으로 의심되는 파일이 있다면 보통 바이러스 토탈(Virus Total)과 같이 여러가지 백신의 엔진을 가지고 감염 여부를 확인하는 경우가 대부분입니다.

하지만, 이는 단순하게 감염 여부만 알려 줄 뿐이며, 그 파일이 어떻게 동작하는지 알기가 어렵습니다.

소개하는 자료는 악성 프로그램을 분석하여 알려주는 서비스 중에 무료로 제공되는 것을 정리한 것입니다. 추가적인 설명은 검사할 수 있는 유형을 나타냅니다.

보통 인터넷으로 전파되는 HTML이나 JS는 JSUNPACK에서 분석하는 것이 좋습니다. 파일에 대한 부분은 특정한 OS나 크기의 제한이 있을 수 있으므로 주의하시기 바랍니다.

감사합니다.






reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    백신(안티바이러스)의 성능을 논하는데 가장 많이 이용되는 항목이 바로 진단률(Detection Rate)입니다. 권위(!)있는 평가기관에서도 진단율과 오진율(False Positive), 그리고 검사하는 시간 등을 순서를 매기는 중요한 항목으로 배치하고 있습니다.

    하지만, 사용자가 판단하고자 할 때에 진단율은 저멀리 하늘에 떠 있는 무지개와 같습니다. 보이기는 보이지만, 뜬구름처럼 사용자에게 현실적으로 다가오지 못하기 때문 아닐까 생각됩니다.

    미국의 버지니아 주에 위치한 정보 보안 업체인 Cyveillance 사는 백신이 새로운 악성 프로그램(Malware)가 출현하고 나서 어느 정도 시점에 이르러야 진단을 하게 되는지 흥미로운 실험을 한 결과를 공개했습니다.

    현재 악성 프로그램은 하루에 적어도 수천에서 수만개 이상 새롭게 또는 변형되어 출현하고 있으며, 백신 업체에서는 시그내처, 휴리스틱, 클라우드 기반의 기술 등등 다양하면서도 복잡한 기술을 결합하여 악성 프로그램에 대응하는 형국입니다.

    백신업체에서는 새로운 악성 프로그램이 출현하게 되면, 이에 대한 정보를 습득하고 난 후 일정 기간(1-2일, 위험하지 않을 경우에는 수일 더 추가) 내에 진단할 수 있을 것이라고 생각할 수 있습니다만, 현실을 그렇지 않다는 것을 보여주고 있습니다.


    이 연구의 목적은 새롭게 출현하는 악성 프로그램에 대해 전통적인 시그내처 방식을 이용하여 진단하는 유명한 안티바이러스 제품이 얼마나 빨리 대응하는 지 알아 보기 위함입니다.

    이용된 악성 프로그램은 해당 회사가 보유한 기술로 습득한 것으로 2010년 5월 20일부터 22일(3일)간, 약 2억개의 도메인, 1억9천만개의 웹사이트, 8천만개의 블로그, 9만개 이상의 게시판, 수천개의 IRC/채팅방, 수십억 통의 이메일, 짧은 URL 서비스 등에서 수집한 것입니다.

    다만, 사용된 샘플은 인터넷에서 주로 수집한 것으로 실제 우리가 USB로 감염되거나, 감염된 파일을 다운로드하는 등 현실적인 사용과는 약간 차이가 있을 수 있습니다만, 어느정도 감안하여 이해하시기 바랍니다.

    <그림 1. 악성 프로그램 출현 후 1일 이내에 진단한 비율>

    NOD32(38%)이 가장 높은 진단율을 보였으며, McAfee(23%), F-Secure(22%)가 그 뒤를 이었습니다.

    <그림 2. 시일이 경과하면서 진단율이 증가>


    <그림 3. 약 30일간 증가되는 진단율>

    표에서 보듯이 보통 8일 정도 이후가 되어야 진단율이 약 90%정도 이릅니다. 즉, 즉각적인 대응은 솔직이 실망스럽고, 일주일의 시간 후에서야 어느정도 된다는 것입니다. 그런데, 그러는 동안에 새로운 악성 프로그램이 휴가를 가는 것은 아니지 않을까요?

    마지막으로 악성 프로그램이 출현한 후에 이를 대응 즉, 진단하는데 걸리는 평균 시간은 아래와 같습니다.

    <그림 4. 악성 코드에 대응하는 데 걸리는 평균 시간>

    위의 표에서 NOD32는 약 2.2일이 소요되어 1등을 차지했습니다. 그 뒤를 Kaspersky(3.8일) 순서입니다. Sophos, Trend Micro의 경우에는 약간 무척 부진한 상황을 보여 주고 있습니다.


    지금까지 나온 결과를 보면, 솔직이 실망감이 몰려 들 수 밖에 없습니다.

    백신 업체에서는 이러한 대량 물량 공세에 효과적으로 대응할 수 있는 기술을 마련해야 할 것으로 보입니다.

    사용자 측면에서는 백신이 모든 것을 막아 줄 수 있다는 환상을 버리고, 이제 보안은 내 자신이 먼저 지켜야 한다는 생각을 가져야 하며, 보다 안전하게 인터넷을 사용할 수 있는 방법을연구하여 이용해야 할 것입니다.

    감사합니다.

    출처: http://www.cyveillance.com/web/docs/WP_MalwareDetectionRates.pdf






    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      바이러스, 즉 악성 프로그램을 인터넷에서 다운로드하거나, 사용자의 PC에서 의심스러운 파일이 발견될 때에 이를 여러 가지 안티바이러스 제품으로 통합적으로 검사해 주는 사이트가 있습니다. 대표적인 사이트는 VirusTotal과 Jotti가 있으며, 이들 사이트는 모두 무료로 제공됩니다.

      우리가 익히 알고 있는 시만텍, 맥아피, 어베스트!, V3와 같이 약 30 여가지 안티바이러스 제품으로 동시에 검사하기 때문에 정말 새로운 바이러스가 아닌 경우에는 어디 한곳에 진단되기 마련입니다.

      또한, 검사하기 위해 업로드한 샘플은 안티바이러스 제작사로 샘플로 자동으로 전송되어, 신종인 경우 즉시 반영할 수 있도록 도움을 주고 있습니다.

      여기까지는 컴퓨터를 사용하는 즉, 착한 사용자의 입장입니다.

      만약, 악성 프로그램 제작자가 새로운 악성 프로그램을 만들었다고 가정해 봅니다. 이게 진단되는지 검사하려면 앞에서 언급한 바이러스 검사 사이트에서는 할 수가 없습니다. 해볼려면, 어쩔 수 없이 PC나 가상 머신에 각각의 안티바이러스 제품을 설치하여 테스트하는 힘든 과정이 남아 있습니다.

      하지만, 궁하면 통하는 법!

      어둠의 시장을 위해서 제공되는 바이러스 검사 사이트가 공개되었습니다. 사이트는 현재까지 2개가 알려져 있으며 아래 화면은 그중 하나입니다.


      오히려, 더 나은 점이 보이는데, 바로 검사하고자 하는 안티바이러스 제품을 선택할 수 있다는 점입니다.

      단점으로는 무료가 아닌 유료 사이트로, 한번 검사할 때마다 파일당 1달러 또는 1개월당 40달러로 할인 판매하고 있다고 합니다.

      돈버는 것도 역시 틈새시장이 최고로 보입니다.

      참고자료: http://www.wired.com/threatlevel/2009/12/virus-check/?




      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        요즘에는 바이러스(웜, 등등  통칭해서 악성 프로그램)들의 전파 속도는 인터넷의 발달로 인해 거의 빛의 속도를 따라가고 있다. 어제 유럽에서 새로 발견된 악성 프로그램은 오늘 내 컴퓨터에서 조용히 잠복하는 세상이다.

        하지만, 악성 프로그램을 진단 치료하는 안티 바이러스 벤더의 입장에서 보면, 정보의 홍수 아니 악성 프로그램의 홍수 속에 업무가 기하급수적으로 증가하고 있다. 특히, 이메일을 통해 감염되는 악성 프로그램(거의 트로이 목마)은 한번 퍼지기 시작하면 스패머의 활약에 힘입어 엄청난 속도로 전파되는 특징을 가지고 있다.

        이러한 악성 프로그램이 우리가 사용하는 안티바이러스 제품에 샘플을 수집하여 이를 데이터베이스화하는데 걸리는 시간은 얼마나 되는지 궁금하지 않은가?

        미국의 유명한 안티 스팸 업체인 컴터치(CommTouch)는 악성프로그램 발생 센터(Malware Outbreak Center)라는 프로그램을 통해 이메일로 전염되는 악성 프로그램을 보안 벤더들이 얼마나 빨리 대응하는지 자세히 보여 준다.

        http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

        사용자 삽입 이미지
        <그림 #1. 악성 프로그램의 발생 순서에 따른 진단명, MD5 값을 보여 준다.>

        여기서는 최신으로 발생하는 악성 프로그램을 시간 순서로 보거나, 월별로도 볼 수 있다. 아래는 11월 10일날 발견된 Troyan-Downloader.Win32.Agent.ezm 악성 프로그램의 진단 시점에 대해 안티 바이러스 제품별로 자세히 보여 준다.
        사용자 삽입 이미지
        <그림 #2. Troyan-Downloader.Agent.UZM 의 진단 시점>

        초록색은 발생하자 마자 진단이 된 것으로 발생 초기부터 진단했다는 의미이고, 주황색은 일정한 시간 후에, 그리고 빨강색은 진단 기간동안 감지하지 못한 것을 의미한다.

        자세한 사항은 오른쪽 위 그리고 아래에 있는 Download Data 링크에서 엑셀 파일로 제공한다.

        특히, 월별로 데이터를 산출해 보면, 악성 프로그램 별로 걸리는 시간을 더욱 쉽게 알아 볼 수 있다.
        사용자 삽입 이미지
        <그림 #3. 안티바이러스 제품별로 월별 진단 시간, 가능 여부를 볼 수 있다>

        이러한 자료를 통해 안티 바이러스 제품의 기동력(!)을 한번 더 평가하는데 도움이 되었으면 한다.

        알림: 여기서 측정하는 악성 프로그램은 대부분 이메일을 통해 감염되는 트로이목마임을 다시 한번 알려 드립니다. 일반 파일 바이러스 등에서는 다른 결과값이 나타날 수 있습니다.

        Daum 블로거뉴스
        블로거뉴스에서 이 포스트를 추천해주세요.
        추천하기
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          Win32:Skyper.B는 스카이프처럼 보이게 위조하여 스카이프에 접속하는 사용자ID와 비밀번호 정보를 훔치는 악성 프로그램입니다.

          Skyper.B는 스카이프 디펜더(defender)라는 보안 플러그인으로 위장하고 있으며 자체 압축인 UPX 3.0으로 되어 있으며 볼랜드 델파이로 제작된 것으로 알려져 있습니다.

          이 악성 프로그램이 실행되면 아래와 같이 경고 메시지를 보이고 스카이프 로그온 화면을 위장하는 가짜 화면이 나타납니다.
          사용자 삽입 이미지

          사용자 삽입 이미지

          로그온을 시도하면 아래와 같이 올바르지 않다고 경고 메시지를 보여 줍니다.
          사용자 삽입 이미지

          아래는 실제 스카이프의 로그온 화면으로 Sign in 버튼 부분이 다른 것을 볼 수 있습니다.
          사용자 삽입 이미지

          스카이프 사용자가 가짜 로그온 화면에서 정보를 입력하고 Sing in 버튼을 클릭하면 악성 프로그램은 계정정보를 [xxx.rxfly.net]으로 전송을 시도합니다. 또한, 윈도우 보호 스토리지 서비스(Windows Protected Storage Service)에서도 계정 정보를 취득하려고 시도합니다.

          다행인 것은 자기 자신을 이메일, 메신저 등을 통해 다른 곳으로 전송하는 기능이 빠져있습니다.

          노턴 등의 최신 안티바이러스에서 이 악성 프로그램을 진단 처리할 수있지만, 아무래도 조심하는 편이 나을 것으로 보입니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            악성 코드 및 개인용 방화벽 프로그램으로 명성을 얻고 있는 선벨트 소프트웨어(Sunbelt Software)에서는 9월달에 인기(!) 있었던 악성 프로그램에 대한 보고서를 발표했습니다.

            매달 발표되는 보고서에는 카운터스파이(CounterSpy) 검사와 위협 연구 센터(Threat Research Center)에서 제공하는 서비스를 통해 수집된 정보입니다.

            9월 달에 새로 등록된 악성 프로그램은 Troyan.NewMediaCodec으로 특정한 웹사이트에서 성인용 비디오를 보기 위해서는 윈도우 미디어 플레이어를 업그레이드해야 한다고 속이는 프로그램입니다. 실제로 파일을 다운로드하여 설치하는데 이때에 악성 프로그램이 함께 설치 됩니다.

            1. Troyan.FakeAlert(DesktopScam) - 1.59%
            2. Troyan-Downloader.Zlob.Media-Codec - 1.44%
            3. Virtumonde - 0.75%
            4. ClickSpring.PuritySCAN - 0.75%
            5. Troyan.Unclassified.gen - 0.55%
            6. Trojan.NewMediaCodec - 0.49%
            7. Zenotecnico - 0.40%
            8. Command Service - 0.33%
            9. Trojan.Smitfraud - 0.32%
            10. WinAntiVirusPro - 0.32%

            출처: http://www.earthtimes.org/articles/show/news_press_release,189798.shtml

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              안티 바이러스 벤더인 시만텍에서 봇(Bots), 스파이웨어, 애드웨어 기타 악성 프로그램을 자동으로 감지하고 제거하는 프로그램인 노턴 안티봇(AntiBot) 제품을 정식으로 출시하였다.

              이 제품은 무료 제품은 아니며, 설치시에 15일간 무료로 사용할 수 있으며 1년에 약 30$ 정도의 가격으로 구매하여 사용할 수 있다.

              사용 환경은 Windows XP/Vista만 가능하며 기존 Windows 9X에서는 사용할 수 없다.

              노턴 안티봇 홈페이지:
              http://www.symantec.com/home_homeoffice/products/overview.jsp?pcid=is&pvid=nab1

              노턴 안티봇 다운로드:(링크는 바뀔 수 있읍니다)
              http://spftrl.digitalriver.com/pub/symantec/tbyb/NAM/NAB_ESD_SYMC_1310_setup32.exe


              제품 설치는 아주 간단하며 특별히 설정할 부분은 없다.

              아래 그림은 설치 후 실행한 모습이며 모두 3가지 탭으로 아주 간단한 인터페이스를 가지고 있다.

              (상태 화면)
              사용자 삽입 이미지

              (고급 화면)
              사용자 삽입 이미지

              (설정 화면)
              사용자 삽입 이미지

              좀 더 사용해보고 특별한 점이나 문제점이 나타나면 포스트를 갱신합니다.

              끝.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                 
                보안 벤더로 유명한 F-Secure社는 FS-CSI라는 흥미로운 프로그램을 지난 주에 호주의 시드니에서 공개한 적이 있습니다.

                TV 시리즈 중에 범죄를 중심으로 다양한 해결방안을 보여주는 CSI라는 이름을 빗대어 FS-CSI라는 이름을 가지고 있으며, 이 프로그램은 소프트웨어의 동작 행태를 분석하는 도구라고 합니다.

                분석하는 원리를 살펴 보면, 먼저 아무것도 감염되지 않은 깨끗한 시스템에 대한 정밀한 분석 자료(스냅샷이라고 합니다)를 추출해 낸 다음에, 악성 프로그램을 감염시킵니다. 그 다음에는 스냅샷을 다시 추출해 내어 맨 처음 깨끗했던 시스템의 스냅샷과 비교하는 방식입니다.


                기존에는 악성 프로그램이 출현하여 샘플이 입수되면 이를 디스어셈블링 등의 방법을 통해 코드를 하나하나 분석하는 방식으로 이루어졌으며 이러한 작업에는 높은 숙련도의 엔지니어와 많은 시간이 소요됩니다.

                또한, 이 프로그램을 이러한 분석 결과는 그래픽 화면으로 보여 주기 때문에 훨신 효율적이라고 합니다. 이 도구는 실행하는 프로세서, 악성 프로그램이 생성하는 파일, 외부로 연결하는 네트워크 등의 모든 부분을 볼 수 있다고 합니다.

                우리나라의 안철수 연구소에서는 어떤 방식으로 악성 프로그램을 분석할까요? 궁금하네요.

                감사합니다.
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  유망한 보안 컨설턴트인 Win Schwartau의 블로그(http://securityawareness.blogspot.com)를 통해서 크루드웨어를 강제로 배포하려다 포기한 일이 있었다고 한다. 그의 블로그에서는 Malware Alarm이라고 부르는 크루드웨어를 방문자에게 설치하게끔 하도록 조작하였다.

                  이 블로그는 구글에서 제공하였기 때문에 구글 측에서는 이러한 사실을 확인하고 URL을 차단하였으며, 지금은 정상적으로 복구되어 블로그 웹페이지가 열린다.
                  사용자 삽입 이미지

                  한편, 일부 보안 벤더들은 문제가 발생했던 Malware Alarm 무료 프로그램이 상용 버전인 프리미엄 버전을 구매하도록 교모하게 설계되어 가짜의 보안 경고를 내보인다고 주장했다. 이 소프트웨어에서 악성 프로그램이라고 진단했던 파일들은 윈도우에서 사용되던 파일이거나 정상적인 프로그램이라고 한다.

                  아래 사진은 SunbeltBLOG에 올라온 스크린샷으로 위에서 언급한 블로그를 방문했을 때 나타났던 보안 경고 창 화면이다.
                  사용자 삽입 이미지

                  <악성 프로그램에 감염되었다고 목록을 보여주고 사용자에게 경고하는 화면>
                  사용자 삽입 이미지

                  사용자 삽입 이미지

                  그리고, 구글의 검색 캐시 기능으로 인해 아직 검색해 보면 예전의 링크가 살아 있는 재미있는 상황이 연출되고 있다고 한다.

                  문제의 원인을 이 블로그의 주인이 언급한 글에 따르면, "이미 폐쇄한 블로그로 생각하고 있었고 다른 블로그를 사용하고 있는 상태였기 때문에 이러한 경고에 대해서 무시했었다"고 합니다. 보안 컨설턴트가 이에 대해 언급한 내용은 여기를 클릭하세요.


                  우리나라에는 다음, 티스토리, 네이버 등등 다양한 포탈 및 사이트에서 블로그 서비스가 제공되고 있습니다. 일부 사용자들은 이러한 블로그 서비스를 사용하면서 관리를 제대로 하지 않아 그냥 무단방치되는 경우도 많습니다. 또한, 약한(풀기 쉬운) 비밀번호로 블로그를 관리하여 해킹을 당하는 상황도 당연히 발생할 수 있습니다. 이러한 취약한 블로그를 통해 바이러스 제작자 등의 악의를 가진 사람이 이런 수단을 통해 다양한 공격을 수행한다면 막기가 그리 수월치는 않을 것이라 예상됩니다.

                  따라서, 블로거들은 자신이 더 이상 운영하지 않는 경우라면 블로그를 폐쇄하거나 또는 모든 트랙백이나 링크를 달지 못하게하고, 비밀번호를 복잡하게 바꾸어 놓고 자신만이 아는 공간에 적어두는 것이 좋습니다. 또한, 블로그 서비스 업체에서는 사용자가 관리 목적으로 일정 기간동안 로그온을 하지 않는 등 무단 방치되고 있는 블로그에 대한 모니터링과 적절한 대응 조치가 필요하다고 생각됩니다.

                  특히, 티스토리와 태터툴즈와 같은 블로그 설치 형태에서는 자바 스크립트를 사용할 수 있습니다. 자바 스크립트는 운영자에게는 좀더 나은 디자인과 편리성을 제공해 주지만 반대 급부로 보안상 취약점을 야기할 수도 있다는 점을 명심해야 할 것입니다.


                  마지막으로 이 문제의 장본인인 Winn이 남긴 변명 의 글을 읽어 보세요.
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    최근 유행하는 USB 드라이브 웜의 일종입니다. 하지만, 신기한 점은 웜이지만, 사용자 컴퓨터에 크게 손상을 주는 것이 아니라 어느 정도의 공익을 목적으로 한다는 점입니다.

                    소포스 사의 보안 전문가들은 USB 메모리 스틱과 같은 이동형 드라이브에 자신을 복제하는 LiarVB-A 웜에 대한 세부 정보를 발표했습니다. 웜을 퍼뜨리는 목적은 에이즈와 HIV 바이러스에 대한 정보를 널리 퍼뜨리기 위함이라고 합니다.

                    LiarVB-A 웜은 플로피 디스켓, USB 메모리 스틱과 같은 이동형 매체와 네트워크 공유 폴더를 통해 전파되며,
                    감염되면 루트 폴더에 autorun.inf 파일을 숨겨 놓아 다음 번에 드라이브를 연결할 때 자동으로 실행되게끔 합니다.

                    대부분의 악성 프로그램들은 해커들의 목적이나 금전적인 이유로 인해 만들어지지만, 이 웜의 경우에는 에이즈에 관련된 정보를 퍼뜨리기 위한 것으로 목적이 아주 다르지만, (나름대로의) 중요한 메시지를 퍼뜨리기 때문에 여전히 실정법을 위반하고 있다고 합니다.

                    웜은 '아무런 해를 입히지 않는다'고 HTML 파일의 하단부에 다음과 같이 적혀 있습니다.

                    This file Doesn't make harmful change to your computer. This File is NOT DANGEROUS for your Computer and FlashDisk(USB). This File Doesn't any Data or Files on your computer and FlashDisk(USB). So Don't be affraid, and Be Happy!

                    하지만, 이 웜은 사용자를 성가시게 하는 등 컴퓨터에 일련의 설정을 변경하기 때문에 아무런 해를 입히지 않는다고 말할 수는 없습니다.

                    감사합니다.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory