악성 프로그램 중의 하나인 Alureon 루트킷이 드디어 64비트 운영체제에서 동작하는 사례가 발표되어 이를 정리해 봤습니다.


윈도우 XP 시절부터 윈도우 비스타/7까지 개인용 운영체제에는 32비트와 64비트가 나눠져 있습니다.

일반적인 프로그램에서는 그리 큰 문제가 되지 않겠지만, 안티 바이러스(백신)와 같이 시스템에 매우 밀접한 관계를 맺고 있는 프로그램은 호환성 측면에서 제대로 64비트에 대응하지 못하여 온 것이 사실입니다.

실제로 국내 무료 안티바이러스를 보자면, V3 Lite 제품이 64비트를 지원하기 시작한 때는 2010년 3월 24일이며, 알약의 경우에는 아직 지원되지 않고 있습니다. 참고로, 편법으로 알약을 설치하는 방법이 인터넷 상에서 널리 알려져 있지만, 이 글을 읽으시는 분들은 절대 그렇게 설치하지 않도록 주의하십시오.

반대로 악성 프로그램(바이러스, Malware)의 입장에서도 기존 32비트 운영체제에서는 숙달된 프로그래밍 실력, 경험을 바탕으로 다양한 악성 프로그램을 배포해 왔습니다. 악성 프로그램에는 스파이웨어, 바이러스, 웜 등 다양한 형태가 있습니다만 특히, 악성 프로그램 중에서 가장 어려운 기법에 속하는 루트킷(rootkit)에서는 64비트 운영체제에서 제대로된 공격을 하지 못했습니다.

이번에 발견된 Alureon 루트킷의 변종은 쉽게 발견된 것이 아니라, 여러가지 단계를 거쳐 마이크로소프트가 분석 및 치료를 해 오는 과정에서 나온 결과여서 더욱더 충격적이지 않을 수 없습니다.

최초에 발견된 Alureon 루트킷은 2010년 2월 초에 있었던 정기 보안 업데이트 시에 블루스크린을 보여주는 사례로 부터 시작되었습니다. 이를 조사하던 중에 나온 악성 프로그램이 바로 Alureon 입니다.

윈도우 업데이트 후 블루스크린 발생. 원인은 루트킷으로 밝혀져
http://moonslab.com/834

이후 마이크로소프트는 Alureon 루트킷의 변종이 출현함에 따라 이를 진단하여 치료하는 작업을 진행했으며 지난 5월까지 매우 성공적인 결과를 얻을 수 있었습니다.


아래 표는 감염된 PC의 운영체제를 기준으로 나눈 것으로 윈도우 XP가 주된 목표였다는 것을 알 수 있습니다.


출처: http://blogs.technet.com/b/mmpc/archive/2010/05/21/msrt-may-threat-reports-and-alureon.aspx


하지만, 최근 조사에 따르면 기존 Alureon이 드라이버를 감염시키는 방식이었지만, MBR(Master Boot Record)에 감염시키는 새로운 형태의 변종이 출현했다는 사실을 밝혀냈습니다. 실제 64비트 운영체제에 영향을 미치지는 않지만, 가상 파일시스템의 일부분인 ldr64라는 파일에 삽입됩니다.

게다가, 변종의 새로운 형태는 윈도우 비스타/7 64비트 시스템을 감염시킬 수 있다는 사실도 알려졌습니다. 참고로, 윈도우 XP, 윈도우 서버 2003 64비트에서는 시스템이 부팅되지 않도록 손상시킵니다.

64비트 윈도우 운영체제에서는 시스템에 관련된 중요한 파일을 보호하고 변조하지 못하게 하는 다양한 기술이 적용되어 있으며 이중 대표적인 부분이 바로 파일 서명과 PatchGuard입니다. 만약 커널에 관련된 파일을 변경하려고 시도할 경우에는 이를 예방하게 됩니다.

하지만, 이러한 기술이 실행되기 전에 부팅 과정 중에 감염시키는 방법이 성공하게 되면 서명되지 않은 드라이버를 정상적으로 삽입하여 실행할 수 있게 되고, 이러는 과정으로 감염이 이뤄지게 됩니다.

PatchGuard를 우회하는 기법은 아래 자료를 참고하십시오.

Bypassing PatchGuard on Windows x64
http://www.uninformed.org/?v=3&a=3&t=pdf


문제는 루트킷을 찾아내는 방법이 그리 수월치 않다는 점입니다. 루트킷이 동작하게 되면 커널 상에서 동작하게 되므로 안티바이러스와 같이 진단 프로그램에서 찾아내기가 매우 어렵습니다. Alureon 루트킷의 경우에는 아래의 방법을 통해 사용자가 직접 루트킷에 감염되어 있는지 확인할 수 있습니다.


즉, 디스크 관리에서 루트킷의 설치된 경우에는 윈도우의 시스템 드라이브와 같은 설치된 파티션이 제대로 보이지 않게 됩니다.


마이크로소프트는 이러한 문제점을 해결하기 위한 방안을 아직까지 제시하지 못하고 있습니다. 다만, 동사가 제공하는 MSE(Microsoft Essentials), 포어프론트 클라이언트 시큐리티, 포어프론트 서버 시큐리티, TMG 등에서 Alureon 루트킷을 진단 및 삭제할 수 있다고 밝히고 있습니다.

그리고, 시만텍에 따르면 Backdoor.Tidserv.L 이라는 악성 프로그램은 32비트와 64비트에서 모두 동작한다고 합니다. 즉, 운영체제를 감지하여 적절한 방식으로 감염을 시키는 것입니다.

이러한 사례를 통해 볼 때, 64비트 운영체제도 이제 악성 프로그램의 손아귀로 들어갈 날이 얼마 남지 않은 것으로 예상됩니다.

감사합니다.



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    최근 보안 전문 기업의 인수 합병이 하나씩 선보이고 있는 가운데, GFI Software사가 VIPER 안티바이러스로 유명한 Sunbelt Software를 합병했습니다.

    GFI Software는 일반인에게는 약간 생소한 회사로 주로 웹 보안과 이메일에 관련된 솔루션에 강점을 가지고 있으며 특히, ISA(TMG) 서버의 플러그인으로 유명합니다.

    Sunbelt Software 사가 가지고 있는 안티바이러스 관련 솔루션을 합병함으로써 GFI Software는 별도의 조직체계를 갖추지 않고 보다 강력한 통합 보안 솔루션을 개발할 수 있는 토대를 마련했다고 볼 수 있습니다.

    한편, 합병에 들어간 비용에 대해서는 언급되지 않았습니다.

    감사합니다.



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      매달 보안 제품의 성능을 평가하는 바이러스 블러틴(Virus Bulletin)에서는 2010년 5월에 안티스팸 제품에 대한 평가 보고서를 발표했습니다.

      합격 평가 기준은 스팸 차단율을 오진률을 3배수한 값을 뺀 값이 96%보다 큰 경우에 한했습니다.

      결과

      BitDefender Security for Mail Servers 3.0.2

      VB spam testing

      Fortinet FortiMail

      VB spam testing

      Kaspersky Anti-Spam 3.0

      VB spam testing

      Libra Esva 2.0

      VB spam testing

      M86 MailMarshal SMTP

      VB spam testing

      McAfee Email Gateway (formerly Ironmail)

      VB spam testing

      McAfee Email and Web Security Appliance

      VB spam testing

      MessageStream

      VB spam testing

      Microsoft Forefront Protection 2010 for Exchange Server

      VB spam testing

      modusGate (Vircom)

      VB spam testing

      MXTools Reputation Suite

      VB spam testing

      Sophos Email Appliance

      VB spam testing

      SPAMfighter Mail Gateway

      VB spam testing

      SpamTitan

      VB spam testing

      Sunbelt VIPRE Email Security

      VB spam testing

      Symantec Brightmail Gateway 9.0

      VB spam testing

      The Email Laundry

      VB spam testing

      Vade Retro Center

      VB spam testing

      Vamsoft ORF

      VB spam testing

      Webroot E-Mail Security SaaS

      VB spam testing

      애드인 제품

      아래 제품은 다른 제품의 내부 또는 애드인으로 포함되어 사용되는 솔루션으로 전용 솔루션과 성능면에서는 비교하기가 어렵습니다.

      Spamhaus ZEN plus DBL

      VB spam testing

      VBSpam 결과 도표

      위의 도표에서 오른쪽 상단에 위치할수록 오진도 적고, 스팸 차단율도 높다는 것을 알 수 있습니다.

      참고로 Microsoft Forefront는 UAG, TMG에서 사용되는 보안 솔루션의 일부분입니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        일반적으로 방화벽이나 웹 프록시(가속기)를 언급하면 장비(Appliance)를 떠올리게 됩니다.

        하지만, 마이크로소프트가 ISA(Internet Security & Acceleration) 서버를 출시하면서 소프트웨어적으로 동작하는 방화벽도 점차 주목을 받고 있습니다. ISA 서버는 최근에 TMG(Threat Management Gateway) 2010을 출시하면서 보다 다양한 기능을 제공하고 있습니다.

        이번에 소개할 프로그램은 CacheGuard라는 제품으로 방화벽, 웹 프록시 등의 다양한 기능을 제공하는 리눅스 기반의 프로그램입니다.


        지원하는 기능은 다음과 같습니다.
        • 인터넷 게이트웨이: 방화벽 기능
        • QoS: 트래픽 제어
        • URL Guarding: URL 필터링
        • 컨텐츠 필터링
        • 고가용성 지원
        • 로드 밸런싱 지원
        • 웹 가속기
        • 웹 필터
        • DNS, DHCP 지원

        자세한 사항은 아래 주소를 방문하기 바랍니다.





        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          포어프론트 TMG에서는 방화벽 클라이언트를 TMG 클라이언트라고 부릅니다. 이는 기존 ISA 제품군과 구별하기 위한 것으로 생각됩니다.

          하여튼, TMG 클라이언트를 자동으로 구성하는 방법은 보통 2가지로 나눌 수 있습니다.
          • DNS/DHCP를 이용하여 자동 탐색
          • AD를 이용하여 자동 탐색

          첫번째 방법은 ISA 제품군에서 사용해왔던 기술로, TMG 서버에서는 하나 더 추가되었다는 점을 손쉽게 알 수 있습니다.

          참고로, 포어프론트 TMG 제품의 가장 큰 특징은 바로 "AD를 이용하여 자동 탐색"하는 기능과 "SSL 트래픽을 검사"할 수 있다는 것입니다.

          TMG 클라이언트가 TMG 서버를 자동으로 찾는 과정은 다음과 같습니다.

          1. 액티브 디렉터리가 구현된 환경인 경우 TMG 클라이언트는 LDAP 쿼리를 통해 AD에 있는 정보를 조회합니다.

          2. TMG 클라이언트가 연결이나 어떤 이유로 인해 정보를 가져오지 못하는 경우에는 DNS/DHCP 자동 탐색 기능을 사용합니다.

          3. 액티브 디렉터리에 조회를 하였지만 정보가 없는 경우에는 DHCP에서 정보를 가져오기 위해 시도하고 그 이후에는 DNS에서 시도합니다.


          액티브 디렉터리에 TMG 서버의 정보를 입력하기 위해서는 TMG 자동 탐색 구성 도구(TmgAdConfig.exe)가 필요합니다. 이 도구는 TMG 서버의 위치를 알려주는 표시(마커, marker) 정보를 액티브 디렉터리에 저장합니다.  TMG 클라이언트는 마커 정보를 이용하여 TMG 서버를 찾아 연결합니다.

          주의: AD를 이용하는 자동 탐색 기능은 액티브 디렉터리 환경에서만 사용할 수 있습니다. 단독 실행형이나 워크그룹 형태의 네트워크에서는 사용할 수 없으며, 그 대신 DNS/DHCP를 이용해야 합니다.


          TmgAdConfig 프로그램은 아래 링크에서 AdConfigPack.exe를 다운로드할 수 있습니다.

          이제 AD 마커 키를 등록하기 위해 명령 프롬프트를 실행하여 다음과 같이 입력합니다.

          tmgadconfig add -default -type winsock -url http://ftmgfw.contoso.com:8080/wspad.dat

          Forefront TMG Auto-Discovery Configuration Tool
          New Winsock default marker successfully registered.

          위의 예에서 강조 표시한 부분은 TMG 서버의 FQDN과 사용하는 포트 번호를 나타냅니다.
           

          이제 정상적으로 설치되어 있는지 확인하기 위해 FWCTool 이라는 프로그램을 이용합니다. 이 프로그램은 TMG 클라이언트 PC의 %Programfiles%\Forefront TMG Client 폴더에 저장되어 있습니다.

          1. 명령 프롬프트를 엽니다.

          2. 해당 경로로 이동합니다.

          3. 아래와 같이 입력합니다.

          fwctool TestAutoDetect

          그러면 아래와 비슷한 결과가 화면에 나타나게 됩니다.

          FwcTool version 7.0.7733.100

          Forefront TMG Client support tool

          Copyright (c) Microsoft Corporation. All rights reserved.

           

          Action:         Test the auto detection mechanism

          Type:           Default

           

          Detection details:

           

              Timeout is set to 60 seconds

              Locating WSPAD URL on the Active Directory server

              WSPAD object was found in the global Active Directory container

              WSPAD URL found on the Active Directory server:

              http://ftmgfw.contoso.com:8080/wspad.dat

              Initializing Web server connection

              Resolving IP addresses for ftmgfw.contoso.com

              Resolved 1 address(es):

              10.10.10.69

              Connecting to address #1: 10.10.10.69:8080

              Waiting for address #1 to connect

              Address #1 successfully connected

              Requesting wspad.dat file

              Web server is connected and ready to send WSPAD file

              Downloading WSPAD file

              WSPAD file was downloaded successfully

              Detected Forefront TMG: FTMGFW:1745

           

          Result:         The command completed successfully.


          노란색으로 표시된 부분이 앞서 TmgAdConfig 프로그램에서 등록한 내용과 일치하는지 확인합니다.

          감사합니다.

          참고문서: http://blogs.technet.com/isablog/archive/2009/10/23/tmg-client-introduces-automatic-detection-using-active-directory.aspx
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            중소기업에서 느린 속도의 전용선이나 ADSL 라인을 사용하고 있는 경우에 사용자들이 인터넷을 사용하면서 느린 속도 때문에 불평할 수도 있습니다.

            기존에 굴러다니는(!) 서버에 포어프론트 TMG 서버를 설치하여 네트워크 인프라는 변경하지 않으면서도 사용자에게 보다 빠른 웹 서핑 속도를 제공할 수 있는 방안을 제공합니다.

            포어프론트에서 구현할 수 있는 시나리오는 모두 4가지입니다. 자세한 사항은 아래 링크를 참고하십시오. 여기에서는 4번째로 소개하는 단일 네트워크 어댑터 환경입니다.
            http://moonslab.com/821

            먼저 단일 네트워크 어댑터로 구현되는 TMG 서버는 랜카드가 하나만 있어도 됩니다. 즉, 기존 환경을 그대로 이용할 수 있다는 장점이 있습니다.

            다만, 클라이언트에서는 인터넷 옵션에서 프록시 관련 설정을 해야 합니다.


            그리고 가장 중요한 부분이 웹프록시 모드로 동작할 때에 제한되는 내용입니다. 방화벽 모드에서는 포어프론트 TMG 서버가 제공하는 거의 모든 기능을 사용할 수 있지만, 웹프록시 모드에서는 매우 제한적입니다. 간단히 요약하면 웹프록시 + 웹캐시(가속) 기능을 제공하며, 그외 컨텐트/URL 필터링과 같은 차단기능은 모두 사용할 수 없습니다.


            자세한 지원 내용은 다음과 같습니다.
            • 웹프록시: HTTP, HTTPS, FTP 프로토콜에 대한 정방향 프록시(다운로드 전용)
            • 웹캐싱: HTTP, FTP 프로토콜에 대한 캐싱 
            • 웹 서버 게시(publishing)
            • Microsoft Office SharePoint Server, Exchange OWA 2007, ActiveSync, HTTP over RPC와 같은 HTTP 통신 게시
            • 전화접속 VPN 액세스


            웹프록시 모드에서 지원하지 않는 기능은 다음과 같습니다.
            • 서버 게시를 지원하지 않습니다.(웹 서버 게시만 지원)
            • Site-to-Site VPN을 지원하지 않습니다.(PPTP VPN만 지원)
            • 액세스 규칙은 내부 IP 주소만을 원본 주소로 지정해야 합니다.
            • 방화벽 정책은 외부 네트워크 주소를 지정할 수 없습니다.

            출처: http://technet.microsoft.com/en-us/library/ee191507.aspx
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              기업은 나름대로의 목적과 필요에 의해서 고유한 네트워크 환경을 가지게 됩니다. 이러한 환경에 포어프론트 TMG 서버를 구현하기 위해서는 어느정도 일관된 구현 방식을 이해할 필요가 있습니다.

              포어프론트 TMG는 기존 ISA 제품과 마찬가지로 모두 4가지 형태로 구현할 수 있습니다. 이에 대해 간략히 정리해 봅니다. 방화벽의 형태로는 모두 3가지로 표현할 수 있으며 웹프록시/캐시 용도가 나머지 하나입니다.


              • Edge Firewall(경계면 방화벽) - 하드웨어 방화벽과 마찬가지로 외부(인터넷)에서 내부 네트워크로 들어오는 트래픽을 전면에서 방어하는 형태입니다. 보통 내부는 사설망(Private Network)이 위치합니다. 아래 그림에서 VPN 클라이언트 네트워크는 PPTP나 IPSec을 통해 외부에 위치한 사용자가 TMG 서버를 통해 내부 네트워크로 들어올 수 있다는 것을 나타냅니다.

              • 3-Leg Perimeter(3발 경계) - Tri-homed Perimeter라고도 합니다. Edge Firewall 구조에 DMZ 네트워크가 추가되는 형태입니다. DMZ에서는 웹서버와 같이 외부에 노출해야 하는 서버들이 위치하게 됩니다.

              • Back Firewall(후방 방화벽) - 일반적으로 기업 네트워크 환경에서는 이미 하드웨어 기반의 방화벽을 사용하는 경우가 많습니다. 이러한 경우에 포어프론트 TMG 서버를 각 지사와 같이 내부 네트워크를 개별적으로 분리하여 관리할 때에 사용할 수 있습니다. TMG 서버를 Back Firewall로 사용할 때에는 외부에서 접근할 수 있도록 하는 정책을 수립할 때에는 TMG 서버가 사용하는 포트를 열어야 하는 작업이 필요합니다.

              • Single Network Adapter(단일 네트워크 어댑터) - 방화벽으로 동작하기 위해서는 적어도 2개 이상의 랜카드(네트워크 어댑터)가 필요합니다. 하지만, 웹 프록시/가속(캐시) 모드로만 사용할 경우에는 하나의 랜카드로도 충분히 동작합니다. 다만, 일부 기능을 사용할 수 없기 때문에 "웹 프록시/가속" 용도로 사용한다고 이해하면 편리합니다.


              지금까지 포어프론트 TMG로 구현할 수 있는 네트워크 토폴로지에 대해서 설명했습니다. 참고로, Back Firewall 방식에서 포어프론트 TMG 서버는 앞단에 위치(Edge Firewall)할 수도 있고, 뒷단에 위치(Back Firewall)할 수도 있으며, 양 쪽 모두 사용할 수도 있으며 이를 Back-to-Back Firewall(또는 네트워크) 이라고 합니다. 

              감사합니다.

              출처: http://technet.microsoft.com/en-us/library/ee869545.aspx

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                포어프론트 TMG의 라이선스 정책이 새롭게 출시되어 간략히 정리해봤습니다.

                포어프론트 TMG는 두가지의 라이선스 형태로 제공됩니다.
                • 서버 라이선스: URL 필터링, 악성 프로그램 진단, 침입 탐지, 애플리케이션/네트워크 방화벽 등의 기능을 제공하는 TMG 서버
                • 구독 라이선스: 최근의 웹 위협으로부터 보호하기 위해 클라우드 기반의 URL 필터링 및 악성 프로그램을 필터링하는 업데이트 라이선스


                포어프론트 TMG의 서버 라이선스는 CPU의 개수에 따라 결정됩니다. 또한, 가상화 사용시에도 동일하게 결정됩니다.

                • 스탠다드 에디션: CPU당 1,499 달러. 최대 CPU 4개까지 지원.
                • 엔터프라이즈 에디션: CPU 당 5,999 달러. CPU 제한 없음.


                또한, 25 CPU를 위한 특별 가격으로도 제공됩니다.

                • 엔터프라이즈 에디션 25 프로세서 팩: 75,000 달러.

                포어프론트 TMG의 구독 라이선스는 사용자 수 또는 장비 수를 기반으로 결정됩니다. 사용자 수에 따른 가격은 아래와 같습니다.
                • 웹 보호 서비스: 사용자당 12달러(1년)

                출처: http://www.microsoft.com/forefront/threat-management-gateway/en/us/pricing-licensing.aspx

                알림: MS 상의 라이선스 정책은 아주 복잡하므로, 기업이나 조직의 상황에 맞도록 꼼꼼하게 파악하시는 것이 좋습니다.

                감사합니다.




                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  서버 한대로 구성하게 되면 당연히 장비, 운영체제 등의 문제로 인해 서비스에 문제가 될 가능성이 높습니다.

                  이러한 경우에는 로드밸런싱 이라는 기술을 사용하여 동일한 기능을 제공하는 여러 대의 서버를 둠으로써 해결하는 경우가 많으며 보통 앞 단에는 L4 라는 스위치 장비가 오게 됩니다.

                  하지만, TMG는 Windows 2008 운영체제 위에서 동작하는 일종의 프로그램이기 때문에 동일한 잣대로 볼 수가 없는 것이 사실입니다.

                  TMG는 이러한 문제점을 해결하기 위해 여러 대의 TMG를 논리적으로 묶는 어레이(배열, Array) 형태의 시나리오를 제공합니다.

                  먼저 배열 형태를 사용하기 위해서는 TMG 엔터프라이즈 제품을 사용해야 합니다. 스탠다드 제품에서는 지원하지 않습니다. 관련 자료: http://moonslab.com/818 단, 스탠다드 제품은 배열의 구성원으로 사용할 수 있습니다.

                  어레이로 묶음으로써 여러 대의 TMG 서버를 중앙 집중적으로 일관하여 관리할 수 있는 장점을 제공합니다. 어레이에서는 다음과 같은 정보를 공유합니다.
                  • 어레이 설정 정보 - 어레이에 포함되어 있는 구성원에게 모두 공유되는 정보
                  • 서버 구성 정보 -  어레이에 포함되어 있는 각 구성원 서버에 대한 정보

                  포어프론트 TMG 엔터프라이즈 제품에서는 다음과 같이 두가지 형태의 어레이를 지원합니다.

                  • 단독실행형: 최대 50대의 TMG 서버를 하나로 묶을 수 있으며, 주로 로드 밸런싱 목적으로 사용됩니다. 
                  • EMS 관리: 최대 200 개의 어레이까지 관리할 수 있으며, 각 어레이는 최대 50대의 TMG 서버를 둘 수 있습니다. 보통 회사가 지리적 또는 네트워크가 분리되어 있으면서도 이를 단일화해서 관리하고 할 때 사용합니다.


                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    포어프론트 TMG 2010 제품 군은 다음과 같이 두가지로 나눠서 제공됩니다.


                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory