Strengthen Your Security, Baily Tech

2018. 10. 11

Ver 8.8

Z-Block

Physical SandBox Base악성코드 동적분석 시스템

Strengthen Your Security, Baily Tech

Contents1. Physical SandBox의중요성

2. 제안시스템구성도

3. 제안시스템논리구성도

4. OSINT 상관관계분석

5. 악성코드동적분석종합모니터링

6. 가장완벽한보안 LXC 구성

7. End-Point 보안의중요성

8. 랜섬웨어사전방어및 End-Point APT

9. 제조사현황

Strengthen Your Security, Baily Tech

1. Physical SandBox의중요성

• 악성코드가상머신동적분석기반지능형지속공격탐지방어체계가표준화되면서

가상머신우회악성코드등장

• 최근가상머신우회랜섬웨어등장으로랜섬웨어감염사례새롭게발생

• 가상머신우회악성코드및랜섬웨어의지속적인증가로대안필요

▶ 가상머신우회악성코드및우회랜섬웨어등장

• 2017년 발표에의하면 153개악성코드중 35%가가상머신우회악성코드로발견

• 최근 APT 악성코드분석에있어가상머신우회로그가발생할경우 Physical

SandBox에서의분석이필수적으로사용되어야하며그동안탐지못했던영역까지

분석할수있는환경구축이필요

• 망연계솔루션의경우업무망으로넘어가는파일이백신이나가상머신동적분석이

전부였으나 Physical SandBox 도입할경우가상머신우회악성코드분석의단점을

보완해주는역할을제시

▶ 가상머신우회악성코드분석및지능형상관관계분석(Physical SandBox, OSINT 분석)

• 악성코드가상머신동적분석으로방어체계구축, 지능형지속공격악성코드발견

▶ 2세대보안–동적분석기반방어체계

• 방화벽정책에의한방어체계, 침입탐지방어체계에따른동적분석필요성대두

▶ 1세대보안–방화벽/IPS 시스템방어체계

• 악성코드가상머신동적분석기반지능형지속공격(APT) 방어체계구축

▶ 3세대보안–지능형지속공격방어체계

Strengthen Your Security, Baily Tech

2. 제안시스템구성도

▶ 신변종악성코드판별및학습

구성도

• 내장된 300개이상의사용자행동패턴센서에의해악성코드판별

• 다양한경로를통해유입되는랜섬웨어에대해 End-Point에서사전방어가능한구성

• 랜섬웨어에감염된파일은자동백업및자동복구기능으로완벽한사전방어구성

• 내부로유입되는악성코드에대해파일을자동수집하여분석할수있는구성

• 다양한확장자및사용자정의확장자분석가능구성

• 신변종악성코드로판별된파일은 Machine

Learning 기법에의해학습

• Https 또는 SSL 트래픽을이용한악성코드분석에필요한구성

• 내부이메일, 외부메일, 내부네트워크, USB, 네트워크드라이브를통해유입된

악성코드를분석할수있도록구성

백본스위치

방화벽

라우터

악성코드유입

End-Point APT

Z-Block (Network APT)

DB

▶ 네트워크유입악성코드분석

▶ End-Point APT 악성코드분석

▶ 랜섬웨어사전방어

실행형 비실행형

▶ VM SandBox, Physical SandBox 악성코드동적분석

파일수집

악성코드업로드

악성코드동적분석시스템

악성코드동적분석시스템구성도

PhysicalSandBox

Strengthen Your Security, Baily Tech

3. 제안시스템논리구성도

가상환경#1

···

가상환경#200

가상머신우회탐지

··· 가상머신회피로그탐지

Z-Block Manager

Physical SandBox

동적분석SW

Bins/Lib

GuestOS

Win8

동적분석SW

Bins/Lib

GuestOS

Win10

… …최소수량 6개

최대수량 256개

Z-Block

Manager

Strengthen Your Security, Baily Tech

3. 제안시스템논리구성도

운영체제실행

문서파일윈도우실행파일

응용프로그램실행

악성코드행위수집

API 함수호출프로세스레지스트리변경서비스변경파일시스템변경등

네트워크행위수집

정보유출특정포트오픈등

운영체제실행

응용프로그램실행악성코드행위수집

네트워크행위수집

취약점정보자료수집

분석결과

실제환경에서악성코드/네트워크동적분석및

행위수집

동적분석행위결과, 네트워크행위결과저장

유형별 , 네트워크파일정보및평판정보연관분석

유형별, 국가별, 탐지별분류등통합된정보제공

기존 APT 가상머신동적분석환경

가상머신우회악성코드재분석요청

Physical SandBox분석

Strengthen Your Security, Baily Tech

3. 제안시스템논리구성도

네트워크/OSINT 정보분석

CVE 정보

IP 및C&C 정보

S/W취약점

파일Hash 정보

백신정보탐지명정보

저장모듈(Collector)

JSON, HTML

리포트기능

PDF

XML

JSON

Real PC

초기화

설치,삭제,수정

프로세스,서비스설정

분석결과연관분석

공격및경유지 IP

C&C Server

API Call 호출순서타임별프로세스실행순서

API 함수호출모듈

S/W취약점

동적분석모듈(VM SandBox)

프로세스모듈

레지스트리모듈

서비스라이브러리모듈 PE 모듈

메타데이터모듈

Droped 모듈

Yara 모듈

메모리덤프모듈

Pcap 모듈

API 함수호출모듈

다운로드모듈

Network 모듈

파일시스템변경

Zero day 모듈

SSL Proxy 모듈

PDF, MISP

Moloch

MongoDB

Mattermost

elasticsearch

분석결과

수집결과

분석결과

관리자메뉴페이지

사용자관리(등록,변경,삭제)

시스템관리(에이전트관리) 화면

사용자별접근권한제어화면

일반사용자메뉴페이지

사용자에의한분석환경선택기능OS 이미지별, 문서편집기별

분석결과(URL, 파일) 및 History 조회기능

파일업로드기능및분석결과조회기능

그룹관리기능

사용자별, 부서별그룹관리

그룹별분석결과공유기능

분석현황결과종합모니터링

유포중인악성코드

유형별탐지건수

API 함수호출현황

국가별현황

CVE 및SW 취약점현황

바이러스탐지건수

REST API 연동

국가별유포지바이러스탐지명

현황

악성코드분석/통합관제구성도

Strengthen Your Security, Baily Tech

4. OSINT 상관관계분석

OSINT 정보수집기

악성코드평판정보

1분주기자동수집

CVE 정보

1일/1회주기자동수집

IP, C&C 정보

1일/1회주기자동수집

OSINT정보 DB

OSINT 정보제공사이트

SW 취약점공격

레지스트리접근및쓰기정보매핑

IP / C&C 통신정보

악성트래픽정보검출

프로세스실행순서

프로세스정보검출

Drop file 정보

Drop file 정보검출

메모리덤프정보

메모리덤프정보검출

API Call 순서분석

호출순서검출

OSINT 정보 행위분석결과

취약점공격정보검출

API호출정보매핑

프로세스호출정보매핑

외부통신 IP, URL 정보매핑

프로세스실행순서매핑

Drop file hash 값평판정보매핑

메모리덤프문자열매칭

API호출순서매핑

Strengthen Your Security, Baily Tech

4. OSINT 상관관계분석

DB

행위분석

PCAP PCAP

네트워크정보추출

OSINT 정보제공사이트

DB 수집 DB 수집

악성코드샘플데이터

신규악성코드정보

과거현황자료

타솔루션연동데이터

Strengthen Your Security, Baily Tech

5. 악성코드동적분석종합모니터링

Strengthen Your Security, Baily Tech

5. 악성코드동적분석종합모니터링

행위분석결과

연관분석결과

악성코드자동분류정보

Strengthen Your Security, Baily Tech

5. 악성코드동적분석종합모니터링

Strengthen Your Security, Baily Tech

5. 악성코드동적분석종합모니터링

다양한파일형식으로저장

Strengthen Your Security, Baily Tech

6. 가장완벽한보안 LXC 구성

Strengthen Your Security, Baily Tech

6. 가장완벽한보안 LXC 구성

······

······

Strengthen Your Security, Baily Tech

7. End-Point 보안의중요성

Strengthen Your Security, Baily Tech

7. End-Point 보안의중요성

2014년베일리테크는모든보안장비에서 APT 및랜섬웨어테스트를진행한결과,

APT 및랜섬웨어는네트워크에서방어보다 EndPoint에서방어가더안전하다는결론을얻었습니다.

네트워크및 EndPoint에서탐지할수있도록설계하여만들었습니다. ▶▶▶

• 첨부파일에비밀번호설정되면탐지불가

• 외부메일 (Gmail, Daum, Naver) 탐지불가

• 내부로감염되는 APT 및랜섬웨어차단불가

1 E-Mail APT

• 분석은가능하나이미 APT 및랜섬웨어에감염됨

• SSL 통신으로들어오는랜섬웨어탐지불가

• 내부로감염되는 APT 및랜섬웨어차단불가

2 Network APT

• 저장매체(USB)로유입되는랜섬웨어차단불가

• 내부로감염되는 APT 및랜섬웨어차단불가

4 SSL 복호화솔루션도입

• 실시간으로변경되는랜섬웨어배포지차단불가

• 내부로감염되는 APT 및랜섬웨어차단불가

3 유해사이트차단솔루션

• 인터넷나야나사태에서백업서버까지감염되는에레버스

(Erebus)랜섬웨어등장으로감염위험있음

5 백업솔루션

Strengthen Your Security, Baily Tech

7. 랜섬웨어사전방어및End-Point APT

해킹된웹서버

웹서핑(우연)스팸메일

APT(작은악성코드)

C&C 서버

해커그룹

악성코드유포서버

악성코드탐지

동적분석

악성프로세스차단

악성코드분석요청

차단정책배포

Strengthen Your Security, Baily Tech

7. 랜섬웨어사전방어및End-Point APT

알려진랜섬웨어

변종랜섬웨어

신종랜섬웨어

블랙리스트차단

유사도차단

신종센서차단

폴더보호

감염파일복구

End-Point APT

사전방어모듈

Strengthen Your Security, Baily Tech

8. 제조사현황 (인증현황)

Strengthen Your Security, Baily Tech

8. 제조사현황 (인증현황)

Strengthen Your Security, Baily Tech

드로퍼판별을위한시스템및방법

8. 제조사현황 (특허현황)

악성프로세스검출을위한시스템및방법

Strengthen Your Security, Baily Tech

8. 제조사현황 (CC인증현황)

CC인증 : EAL3

Strengthen Your Security, Baily Tech

8. 제조사현황 (GS인증현황)

GS인증 : 1등급

Strengthen Your Security, Baily Tech

8. 제조사현황 (Z-BLOCK 고객사)

Strengthen Your Security, Baily Tech

(세월호트라우마센터)

현담산업

8. 제조사현황 (RansomEye 고객사)

Strengthen Your Security, Baily Tech

감사합니다.

주식회사베일리테크

서울특별시금천구가산동 327-27 이앤씨드림타워8차 701호TEL : 070-7759-6030 Homepage : www.ebailey.co.kr