클라우드 개념 디도스 공격 방어 기술 특허 획득 :: 2010/02/09 12:19
- 기존 기술 한계 극복, 최신 DDoS 공격에 효과적 대응
- 클라우드 보안 ‘ACCESS’ 전략의 핵심
*그림 : 안철수연구소 ACCESS(AhnLab Cloud Computing E-Security Service) 전략
글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 9일 ‘클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버’ 기술이 특허를 획득했다고 발표했다.
이 특허 기술은 안철수연구소가 지난해 7월에 발표한 클라우드 보안 서비스 전략인 ‘액세스(ACCESS; AhnLab Cloud Computing E-Security Service)’를 구현하는 핵심 기술이다. 신종 악성코드 대응 기술인 ‘스마트 디펜스(AhnLab Smart Defense)’에 구현되어 V3에 적용되며 2월 중 출시 예정인 DDoS 전용 장비인 ‘트러스가드 DPX’와 연동되어 입체적인 DDoS 공격 방어가 가능하다. (보충 자료 1, 2 참고)
이 특허 기술은 클라우드 컴퓨팅 환경에서 서버에 연결된 복수의 클라이언트를 이용해 DDoS 공격을 탐지 및 차단하는 기술이다. 이는 종전 DDoS 공격 탐지/차단 기술의 한계를 극복해 더욱 효과적으로 DDoS 공격을 탐지/차단해준다.
종전 DDoS 공격 탐지/차단 기술은 DDoS 고유의 공격 패턴을 탐지해 차단하거나, 정상 네트워크 트패픽 유형과 유사한 형태의 공격에 대해서는 네트워크나 서버 단에서 트래픽을 제한해 서버의 유효성을 보장하는 방법을 사용한다. 그러나, 네트워크 게이트웨이에서의 차단 방법은 신종 DDoS 공격 유형에 대한 사전 방어가 제한적이고, 정상 사용자의 트래픽까지 차단하는 오탐의 우려가 있다. .
안철수연구소의 특허 기술은 이런 문제점을 해결하기 위해 클라이언트에서 실행 중인 프로그램의 파일 DNA와 네트워크 트래픽 정보 간의 상관관계를 분석하여 공격자 좀비PC에서 DDoS 공격을 탐지/차단한다.
이에 따라 네트워크 게이트웨이에서는 판별하기 어려운 새로운 유형의 DDoS 공격 발생 현황과 공격 트래픽을 유발하는 악성코드를 정확하게 탐지할 수 있다. 또한, 서버와 클라이언트 간 협력으로 피해자 서버 또는 네트워크 게이트웨이가 아닌 공격자 클라이언트에서 DDoS 공격을 탐지/방어함으로써 DDoS 공격에 원천적으로 대응할 수 있다.
한편, 특허 기술과 함께 연동되어 DDoS 공격에 입체적으로 대응할 ‘트러스가드 DPX’는 DDoS 공격 대응을 위한 안철수연구소의 모든 서비스 역량이 집결된 솔루션으로서 오탐율이 낮은 것이 특징이다.
<보충 자료>
1. ACCESS 전략
‘ACCESS(AhnLab Cloud Computing E-Security Service)’는 기존 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 이 플랫폼은 기존의 각종 보안 관리 데이터베이스(DB)와 유기적으로 결합하여 악성코드 수집과 분석, 배포 과정을 혁신적으로 개선하며, 종합적인 대응 체제를 가능하게 한다.
ACCESS의 핵심은 ‘종합 위협 분석 엔진’이다. 여기에서는 위협의 근원이 되는 악성코드와 해킹 기법을 실시간으로 수집하여 실시간 탐지 및 치료는 물론 시그니처 DB를 다이나믹하게 생성한다. 이 결과는 기존 ASEC과 CERT, 그리고 유관 전문 기관과의 업무와 실시간으로 연계되어, 기존의 프로세스의 정확성을 높이고 시간을 크게 단축시킨다.
각 사용자와 제품에 맞게 서비스는 이 엔진을 중심으로 구성되는 서비스 프레임워크를 통해 진행되어, 각 사용자에 적합한 서비스와 제품으로 연계가 이루어진다. 개인 사용자에게는 V3 365 클리닉이, 중소기업에는 V3 MSS가 클라우드 서비스를 제공한다. 한편 네트워크 보안 장비인 트러스가드, PC 보안관리 시스템인 ‘폴리시센터(APC)’, 24시간 관제 시스템과도 실시간으로 클라우드 엔진의 분석 결과가 공유됨으로써 일관성있고 종합적인 대응 체계를 구성하게 된다.
2. 스마트 디펜스 기술
‘스마트 디펜스’는 클라우드 컴퓨팅 개념이 적용된 혁신적인 기술로서 수많은 악성코드의 데이터를 모두 PC에 다운로드해 처리하던 방식에서 획기적으로 진일보한 기술이다. 수천만 개의 유형별 파일 DNA(파일의 시그니처) 데이터베이스를 중앙 서버에서 관리하며, PC 내 파일이 악성코드인지를 실시간으로 확인해준다. 이 기술의 적용으로 안철수연구소는 V3 제품군 및 트러스가드 등 보안 제품의 진단율과 검사 속도를 한층 높이고, 엔진 업데이트 이전의 위협을 원천 차단하고 있다. 또한 사전 진단 및 사후 치료까지 더욱 안전한 컴퓨팅 환경을 보장하고 있다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/240
허위 백신 유포에 악용되는 Papka 툴 킷 :: 2010/02/08 18:48
2010년 1월 말 해외 언더그라운드에서 허위 백신을 유포하는 방법으로 Papka 이라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 사용된다는 일부 보안 업체의 보고가 있었다.
웹 익스플로잇 툴킷(Web Exploit Toolkit)은 2009년 이전 부터 웹 브라우저(Web Brower)의 다양한 취약점을 악용하여 악성코드 감염에 이용되는 툴킷 형태로 알려져 있으며 그 실제 악용 사례로 2009년 6월에 발생한 나인볼(NineBall)이라 명명된 대규모 웹 사이트 공격에서도 이러한 형태의 툴 킷이 사용되어 왔다.
ASEC에서는 이 번에 알려진 Papka라는 웹 익스플로잇 툴 킷을 확보하여 자세한 분석을 진행하였다.
이 번에 분석이 진행된 Papka 툴 킷의 메인 사용자 웹 페이지는 아래 이미지와 같이 간단한 형태를 가지고 있으며 별도의 데이터베이스(Database)를 필요하지 않다.
그리고 해당 툴 킷으로 유입된 피해 시스템에서 사용하는 운영체제, 사용하는 웹 브라우저와 IP 조회를 통한 위치 정보 등으로 해당 툴 킷을 설치한 공격자가 공격 대상이 되는 시스템들의 다양한 정보들을 취합 할 수 있도록 되어 있다.
해당 툴 킷에서 아래 이미지와 같이 총 7가지의 다양한 취약점들을 악용하여 공격에 사용되는 것을 알 수가 있다.
해당 Papka 툴 킷에서 사용하는 취약점이 어도비(Adobe)사의 아크로뱃 리더(Acrobat Reader)에서부터 마이크로소프트(Microsoft) 윈도우(Windows)와 인터넷 익스플로러(Internet Explorer)의 취약점까지 다양하게 악용되고 있다.
특히 공격자는 이러한 툴 킷을 통해 컴퓨터 사용자가 악의적인 웹 사이트로 접속하는 순간 해당 시스템에 존재하는 7가지의 취약점을 자동으로 선택하여 악용함으로 시스템이 악성코드에 감염된 것을 알아채기가 쉽지 않다.
그러므로 사용하는 시스템의 다양한 응용 프로그램들의 보안 패치까지 관심을 가지고 설치하는 것이 중요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/239
다국적 언어를 지원하도록 제작된 허위 백신 :: 2010/02/05 18:23
2010년 2월 2일을 즈음하여 인터넷 포털 사이트를 통해 사용하는 시스템이 허위 백신에 감염되었으며 해당 허위 백신이 한국어로 제작되어 있다는 문의가 게시되었다.
ASEC에서는 해당 허위 백신의 설치 파일을 확보하여 어떠한 형태이며 한국어로 어떻게 표기되는지 자세한 분석을 진행하였다.
해당 허위 백신이 시스템에서 실행이 되면 아래 이미지와 같이 마이크로소프트(Microsoft)의 보안 패치를 위해 실행되는 윈도우 업데이트(Windows Update)와 유사한 창이 생성되며 XP 인터넷 시큐리티(Internet Security)를 설치 중이라는 메시지를 보여주게 된다.
그리고 다음 경로의 폴더에 av.exe(344,064 바이트) 라는 파일명으로 자신의 복사본을 생성하게 된다.
C:\Documents and Settings\사용자 계정명\Local Settings\Application Data\av.exe
이 외에 윈도우 시스템이 재부팅 되더라도 해당 허위 백신이 실행 되도록 윈도우 레지스트리의 다양한 자동 실행 부분에 자신을 등록 시킨다.
복사본 생성이 완료되면 아래 이미지와 같은 창을 생성하여 사용자의 동의와 상관없이 시스템 전체를 검사하여 정상적인 파일들을 악성코드로 진단하고 있다. 그리고 검사와 함께 사용하는 시스템이 심각한 악성코드들에 감염된 것으로 사용자에게 허위 정보를 제공한다.
이와 동시에 윈도우 시스템 트레이(System Tray)에도 스파이웨어(Spyware)에 감염되어 신용카드 정보 등의 중요한 개인 정보들이 외부로 유출 될 수 있다는 허위 정보를 지속적으로 보여주고 있다.
그리고 마지막으로 시스템에 감염되었다는 악성코드들을 치료하기 위해서는 온라인을 통해 정상적인 결제하여 정상 사용 등록을 하도록 유도하고 있다.
해당 허위 백신의 설정을 살펴보면 한국어만을 지원하기 위해서 제작된 것은 아니며 영어와 일본어를 포함하여 다양한 언어들을 지원하기 위해 제작되어 있다. 이는 해당 허위 백신 제작자는 감염된 시스템의 언어를 확인하여 해당 시스템의 사용자에게 가장 친숙한 언어를 보여주기 위한 것으로 보여진다.
그리고 해당 허위 백신에 감염된 시스템에서 인터넷 익스플로러(Internet Explorer)를 실행시키자 해당 허위 백신에서 인터넷 익스플로러가 온라인 뱅킹 정보를 유출할 수 있는 트로이목마에 감염되었다라는 허위 메시지를 보여 주며 빨리 해당 허위 백신을 온라인 결제하라는 요구를 하게 된다.
해당 허위 백신은 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Fakeav.344064
이 번에 한국어를 지원하는 것으로 알려진 허위 백신은 심각한 악성코드들에 시스템이 감염되어 중요 개인 정보들이 유출될 수 있다라는 심각한 정보를 허위로 제공하여 온라인 결제를 유도하는 형태이다. 이렇게 허위 백신에서 한국어를 지원하는 것은 한국인에게 친숙한 한국어를 사용하여 허위 정보의 전달이 정확하게 하려는 제작자의 의도로 보여진다.
이는 결국 심각한 상황을 연출하여 사용자의 금전적 피해를 입히기 위한 고도의 사회 공학 기법으로 볼 수 있으며 향후에도 이와 유사하게 한국어를 사용하는 타켓 공격(Targeted Attack) 등이 발생 할 수 있음으로 많은 주의가 필요하다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/238
-
한글판 외산 허위 Anti-Virus 제품 주의
■ 외산 허위 Anti-Virus 제품 한국어(다국어) 버전 주의 2010년 1월 28일경 부터 외산 허위 Anti-Virus 제품들이 한국어를 포함한 다국적 언어를 지원하는 형태로 지능화되어 국내에도 감염 피해 보고
인터넷 익스플로러 정보 유출 취약점 :: 2010/02/04 19:29
미국에서 진행되는 블랙햇(BlackHat) 보안 컨퍼런스에서 마이크로소프트(Microsoft)의 인터넷 익스플로러(Internet Explorer)에 알려지지 않은 정보 유출 취약점이 존재하는 것이 알려졌다.
현재 마이크로소프트에서는 해당 취약점에 대한 보안 권고문을 다음과 같이 작성하여 배포하고 있으며 실제 해당 취약점을 악용한 공격은 발생하지 않은 것으로 보고 있다.
Microsoft Security Advisory (980088)
해당 취약점은 모든 버전의 인터넷 익스플로러에 해당 되나 보호 모드(Protected Mode)가 활성화된 인터넷 익스플로러 버전 7과 8은 해당 되지 않는다.
공격자는 해당 취약점을 이용하여 웹페이지 접근을 통해 사용자의 로컬 컴퓨터 상에 존재하는 파일들의 정보를 획득하거나 스크립트 실행을 통해 임의의 명령을 수행할 수 있다.
해당 취약점에 대한 자세한 정보와 임시 해결 방안은 아래 ASEC 보안 권고문을 참고 하기 바란다.
ASEC Advisory SA-2010-002
네트워크 장비인 트러스가드(TrusGuard) 제품군에서는 해당 취약점을 다음의 탐지명으로 차단 가능하다.
ms_ie_dyanamic_object_security_bypass
ms_ie_dyanamic_object_file_read
Trackback Address :: http://blog.ahnlab.com/asec/trackback/237
-
Microsoft Internet Explorer 제로데이 취약점 : Microsoft Security Advisory (980088) - Vulnerability in Internet Explorer Could Allow Information Disclosure
Tracked from 울지않는벌새 : Security, Movie & Society | 2010/02/04 20:40 | DEL마이크로소프트(Microsoft) Internet Explorer의 정보 노출 허용과 관련된 제로데이(0-Day) 취약점이 공개가 되었습니다. 최근에 Internet Explorer 보안 취약점을 이용한 중국의 사이버 공격으로 미국 IT 업체
무료백신 V3 Lite 스마트 디펜스 기술 등으로 업그레이드 :: 2010/02/04 14:56
안철수연구소에서 배포하는 무료 백신 V3 라이트(Lite)가 보안 혁신 기술인 스마트 디펜스(Smart Defence)를 탑재하여 사전 진단 및 사후 치료 기능을 향상하였다.그리고 시각장애인도 사용 가능하도록 접근성 개선이 이루어졌다.
글로벌 소프트웨어 기업인 안철수연구소(대표 김홍선, www.ahnlab.com)는 4일 자사 무료백신 ‘V3 Lite(V3 라이트)’에 악성코드에 더욱 효과적으로 대응하기 위한 신기술인 ‘스마트 디펜스(AhnLab Smart Defense)’ 기술을 탑재한 한편, 시각장애인도 사용할 수 있도록 접근성을 개선했다고 발표했다.
‘스마트 디펜스’는 클라우드 컴퓨팅 개념이 적용된 혁신적인 기술로서 수많은 악성코드의 데이터를 모두 PC에 다운로드해 처리하던 방식에서 획기적으로 진일보한 기술이다. 수천만 개의 유형별 파일 DNA(파일의 시그니처) 데이터베이스를 중앙 서버에서 관리하며, PC 내 파일이 악성코드인지를 실시간으로 확인해준다. 이 기술은 개인용 보안 서비스인 ‘V3 365 클리닉’에 탑재돼 있으며, 이번에 무료백신에도 탑재됐다.
이에 따라 안철수연구소는 V3 제품군 및 트러스가드 등 보안 제품의 진단율과 검사 속도를 한층 높이고, 엔진 업데이트 이전의 위협을 원천 차단할 수 있게 됐다. 또한 사전 진단 및 사후 치료까지 더욱 안전한 컴퓨팅 환경을 보장하게 됐다.
한편, 시각장애인도 스크린리더(화면에 나온 문자를 음성으로 바꿔주는 프로그램)인 ‘센스리더’를 이용해 ‘V3 Lite’를 사용할 수 있게 됐다. 국내외 유무료 백신 중 이 기능을 제공하는 것은 ‘V3 Lite’가 처음이다. 센스리더는 소프트웨어의 기능 이름이나 이미지가 일렬로 정렬돼 사용자가 커서를 옮길 때마다 내용을 읽어주는 프로그램이다.
‘V3 Lite’는 현재 1200만여 명이 사용하는, 개인용 무료백신의 대명사이다. 특히 전문성과 신뢰성을 갖춘 보안 전문 업체가 제공한다는 점에서 차별된다. 돈을 노리고 지역적, 국지적으로 발생하는 최근 악성코드를 가장 잘 진단/치료하고, 24시간 365일 긴급 대응 서비스가 제공된다는 점에서 신뢰를 주고 있다. 용량이 매우 가볍고 작동 속도가 빠르며, 실시간 검사/진단/치료는 물론 다른 무료 백신은 제공하지 않거나 불완전하게 제공하는 PC 최적화, 툴바 관리, 자체 보호 기능을 제공하는 것이 특징이다.
인터넷사업본부장 임영선 상무는 “스마트 디펜스 기술 탑재로 무료백신의 품질이 한층 높아졌으며, 시각장애인도 ‘V3 Lite’를 사용해 보안 위협에 대비할 수 있도록 지원하게 됐다. 안철수연구소는 앞으로도 정보 소외 계층에 관심을 갖고 소프트웨어 접근성 개선에 노력할 계획이다.”라고 밝혔다.
Trackback Address :: http://blog.ahnlab.com/asec/trackback/236
-
스마트디펜스를 탑재하게된 무료백신 V3 Lite
안철수 연구소에서 제작한 무료백신인 V3 Lite 가 한층더 강력해진 기능을 가지고 나타났네요. 얼마전부터 옥션에서 스마트디펜스 기능을 탑재한 V3 365를 1년무료사용 이벤트를 진행하길래 혹
-
무료백신 V3 Lite AhnLab Smart Defense (스마트 디펜스) 엔진탑재
개인 사용자에게 무료로 배포하는 무료백신 안철수 연구소 V3 Lite에 기존 유료 백신 제품 V3 365 클리닉에만 탑재 되 적용되었던 AhnLab Smart Defense (스마트 디펜스) 탑재가 되어 업그래이드 되었습