사전방어기술
참고: http://arrestlove.tistory.com/345
참고: https://www.kaspersky.co.kr/board/bbs/board.php?bo_table=FAQ&wr_id=58&sca=%BA%B8%BE%C8+%B9%D7+%C1%A6%C7%B0+%C1%A4%BA%B8&nca=
실시간탐지기능 우회 뉴스
참고: http://www.dailysecu.com/news_view.php?article_id=3697
참고: http://www.boannews.com/media/view.asp?idx=34537&page=1&skind=5&search=title&find=
(위에 Virustotal에서 탐지는 안되지만 kaspersky같은 백신은 HIPS기능으로 방어할거라 생각됩니다)
PS. 제 글은 비전문가인 개인의 글이므로 오류가 있을 수도 있습니다.
하루이틀도 아니고 날마다 해커들에게 당하는 사람들을 보니 제가 다 답답해서 글을 남깁니다.
실시간 감시만 붙어있는 무료백신을 사용중이라면 반드시 코모도의 HIPS, Behavior Blocker와 섞어서 사용하기를 바랍니다.
사용자 스스로 관리잘한다고 생각하는데 불구하고 온라인게임, 인터넷뱅킹, 포털사이트 계정이 자주털린다면 필수입니다.
(코모도는 Firewall 제품만 설치하면 Antivirus는 설치되지 않습니다. 물론 위에 사전방어기능'Defense+'을 사용할 수 있습니다.)
HIPS와 Behavior Blocker라는 방어기능은 어떤 실행의 행동을 감시하여 차단하고 사용자에게 수락,차단(제거)를 요청하는 방어기능입니다. 어찌보면 상당히 간단하면서도 보수적이고 확실한 기능입니다. 그냥 어떤 실행 혹은 의심되는것을 사용자에게 알리는 기능이기에. 사실상 신종바이러스도 막을 수가 있습니다. 당연히 해당기능은 바이러스DB 업데이트가 필요 없고, 능숙한 사용자에 따라서는 이론적으로 HIPS만 사용하여 신종바이러스를 차단할 수 있습니다.
물론 HIPS라는 기능역시 단점이 존재하는데. 사용자에게 자주 알려준다는 것입니다. 그리고 사용자가 실수할 가능성이 높다는것입니다. 그래서 코모도나 다른 해당기능을 가진 백신들은 클라우드 화이트리스트기반으로 상대적으로 적게알려주려고 노력하고 Behavior Blocker라는 방어기능에는 제한실행, 가상화라는 기능이 붙어있습니다. 처음사용자에게는 불편할 수 있지만 이전부터 해당 기능을 사용한 유저로서 본다면 예전보다 많이 편리해지긴 했습니다.
왜 일반 무료백신만 사용하면 안되는가?라고 물으신다면 지금 국내유저들이 주로사용하는 무료백신들(v3lite,알약,네이버,AVG등)은 해당 방어기능이 아예 없습니다. 그리고 v3 lite에 있는 ASD(Cloud)라는 기능을 신종바이러스를 막아주는 사전방역기술이라고 오해하시는 분들이 많은데. 해당기능은 정확히 말해서 악성코드샘플 수집과 대응속도를 높혀줄뿐 사전방어기술이 아닙니다. (해당 클라우드 샘플수집&대응기능은 맥아피,카스퍼,코모도,avg,avast등등 다들 가지고 있습니다)
게다가 실시간감시의 치명적인 단점이 있는데.. 편리하다는 장점대신에 탐지못하는 신종바이러스는 그냥 통과시키고 감염되도록 방치한다는 것입니다. 제 경험상으로 보자면 실시간감시(시그니처,휴리스틱,Cloud)기능으로는 사실상 요즘 신종바이러스 방어가 불가능하다고 생각됩니다. 그러다보니 실시간 감시기능만 있는 무료백신 사용자들은 아주 손쉽게 뚫립니다. 사용자에게는 선택권도 없이 바이러스가 타고들어와서 몰래 설치되고 감염시켜서 개인의 인터넷,금융정보등을 빼내가고 모든 해킹행위가 끝나면 자동으로 윈도우를 파괴시켜서 흔적을 지워버립니다.
그러기에 무료백신을 쓰시는분들은 무료보안제품중에 HIPS와 Behavior Blocker를 가진 코모도를 사용하던가 해당기능만 섞어서 사용하던가 해야합니다. 안그러면 백신의 실시간 탐지를 우회해서 몰래 들어오는 것들은 사용자가 알 방법이 없습니다. 나중에 해킹을 당하거나 백신프로그램 일부에 문제가 생기거나 윈도우가 완전히 나간 후에야 감염사실을 알게 됩니다.
아래 경우는 백신의 탐지를 우회해서 들어오다가 HIPS에 걸린것입니다.
정확히 어느 웹사이트에서 글을 보고 있는데 v3lite.exe라는 파일명을 가진 악성코드가 사용자몰래 실행되려하다가 붙잡힌 상황입니다.
('익스플로러 웹브라우저가 해당 v3lite.exe를 실행하려는 경고창 Iexplore.exe -> v3lite.exe' 당연히 저는 차단시키고 제거했습니다.)
저것말고도 여러경우가 있습니다.
Hwp문서파일을 열었는데 altools.exe라는 파일을 실행하려는경우. (HWP.exe -> altools.exe)
PDF파일을 열었는데 xx.exe라는 파일을 싱행하려는경우. (Pd뷰어.exe -> xx.exe)
나는 아무것도 실행안했는데 갑자기 뜬금없이 a.exe를 실행하려는경우. (CMD -> a.exe) 등등
참고: 요즘 해커들은 지능적이라서 실수를 유도하기 위해 파일명도 친숙한것으로 위장하기도 합니다.
그리고 아래 스샷들은 오늘 중국 해커들이 뿌리는 신종바이러스에 무료백신 사용자들이 감염되어 주말마다 물어보는 지식인 상황입니다.
답변없는 질문만 검색했을뿐인데 이정도이고 사실상 윈도우 자체가 나가거나 인터넷까지 끊겨버린 분들은 아예 도움조차 못구하는 상황일겁니다. 저도 지식인 답변하는거 포기했을 정도 입니다. 물론 몇몇 분들은 꾸준히 해결방법을 답변해주고 있지만 치료 성과는 썩 좋지 못한거 같습니다...
