APT 대응 전략과 해법 2부 시장조사기관 가트너(Gartner)에 따르면 APT 대응을 위해서는 기본적인 보안 체계는 물론, 고도화된 기술도 갖추고 있어야 한다. 더 나아가 차세대 보안 대응 방안인 포렌식, 샌드박스 기술 등이 요구된다고 주장한다. 이와 관련해 안랩은 APT 사전 대응 솔루션인 트러스와처(TrusWatcher)에서 샌드박스 기술을 구현하고 있다. 이 제품은 가트너가 강조한 차세대 보안 기술인 샌드박스 기반의 뛰어난 분석 능력뿐만 아니라 자체 개발한 동적 콘텐트 분석 기술인 DICA(Dynamic Intelligence Content Analysis)도 보유하고 있다. 더욱이 안랩은 가장 근본적인 대응 방안이며 실제적인 대응(치료, response)이 가능한 에이전트 기술을 트러스와처에 탑재하고 있다.
샌드박스 개요 샌드박스(Sandboxing) 기술에 대해 설명하기 앞서, 악성코드 분석 방법에 대해서 알아보자.
왜 샌드박스 기술을 선호하는가?
왜 자체적인 전용 샌드박스 솔루션이 필요한가?
온라인 유/무료 샌드박스 서비스에는 GFI 샌드박스, 노먼 샌드박스 애널라이저(Norman Sandbox Analyzer), 조 샌드박스(Joe Sandbox) 등이 있다. 두 번째, 오픈소스 악성코드 동적 분석 툴이 있다. 현재 다양한 오픈소스 기반의 동적 분석 툴이 상용화되어 있다. 하지만 해당 악성코드 분석 툴도 역시 악성코드 제작자들이 쉽게 구축해서 사용하고 소스 코드를 분석함으로써 자신이 만든 악성코드가 탐지되는지 여부와 어떻게 탐지를 우회할 수 있는지를 판단하는 데 악용될 수 있다. 이러한 툴로는 제로와인(ZeroWine), 쿠쿠 샌드박스(Cuckoo Sandbox) 등이 있다.
샌드박스 기반 동적 분석 기술 동적 분석은 분석 대상, 즉 샘플 파일을 통제된 분석 환경 내에서 실행하여 이때 발생하는 행위를 모니터링 및 분석하는 프로세스로 현재 가장 활발히 사용되는 분석 방식이다. 동적 분석은 가상 머신 형태의 제한된 분석 환경에서 진행되며 분석 환경 내에서 샘플 파일을 실행하는 즉시 네트워크 행위, 레지스트리 변조, 파일 시스템 변조 등 다양한 운영체제(OS)의 변화를 확인할 수 있다.
하이브리드 코드 분석 (Hybrid Code Analysis) 하이브리드 코드 분석은 정적 분석 및 동적 분석을 혼합한 방식으로 일명 동적 콘텐트 기반 분석(Dynamic content-based analysis)이라고 불린다.
[그림 2] 안랩 트러스와처의 동적 지능형 콘텐트 분석 기술
[그림 3] 안랩 트러스와처의 DICA 엔진에 탑재된 Anti-ROP 기술 ROP는 이미 존재하는 명령어를 순서대로 배열해서 해커가 필요로 하는 일련의 명령어 집합을 사용하는데 이것을 ROP 가젯(gadget)이라고 한다. DICA는 다음과 같은 방식을 통해서 악성 셸코드를 판단하게 된다. ① ROP 가젯이 발생 시킬 수 있는 모든 트리거를 모니터링 이와 같은 DICA 내의 ROP 차단 기술을 통해서 최근 증가 추세에 있는 ROP 가젯을 이용한 비실행형 APT 악성코드 탐지는 물론이고 윈도우 운영체제에서 제공하는 자체 메모리 보호 기능을 우회하는 ROP 가젯을 이용한 익스플로이트까지 탐지가 가능하다. 또한 다양한 휴리스틱 진단 방법을 계층 별로 구성하여 ROP 가젯 실행을 근원적 차단하는 대응 기술로도 발전시킬 수 있다. 엔드포인트 보안 기술 앞서 설명한 샌드박스 기술은 전용 보안 장비가 네트워크 레벨의 트래픽에서 추출된 파일을 분석함으로써 지능형 타깃 위협 탐지가 가능한 방법이다. 하지만 ►다수의 정상 파일로 모듈화된 패키지 형태의 악성코드 ► 샌드박스와 같은 제한된 가상 분석 환경에서는 정상적인 동작이 되지 않는 악성코드 ► 흔히 사용되지 않은 애플리케이션 관련 파일 포맷이어서 추출 및 동적 분석이 불가능한 악성코드 ► USB 혹은 사내망을 통해 전파된 악성코드의 경우에는 네트워크 기반 보안 솔루션에서 분석하는데 분명히 한계가 있다.
Downloader : 실행 시에 인터넷으로부터 다른 악성코드를 다운로드하는 역할을 수행한다.
가장 보편적인 컨버트(covert) 런칭 기법은 프로세스 인젝션(process injection)이다. Backdoor : 해커로 하여금 원격에서 감염된 컴퓨터로 접속할 수 있게 하는 통로를 제공한다. 백도어 형태로 리버스 셸(reverse shell), RAT(Remote Administration Tool), 봇넷(botnet) 등이 있다. Credential Stealer : 중요 인증 정보를 훔치는 역할을 수행하며, 키 스트로크(key stroke)를 로깅하는 방식 및 해시된 암호 파일 덤프 방식 등이 있다.
레지스트리 분석 : 자동 시작과 관련된 레지스트리 키에 대한 분석이 필요하다.
지금까지 언급한 바와 같이 안랩 트러스와처는 샌드박스 기술 기반의 동적 분석 기술, 비실행형 악성코드 탐지 기술인 DICA, 에이전트를 통한 엔드포인트 보안 기술까지 APT 대응을 위한 차세대 능동적인 보안 기술로 중무장하고 있다.@ |