사이버 위협 추적, 공격자의 단서를 포착하라

 

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29904

 

사이버 위협 추적, 공격자의 단서를 포착하라

서로 다른 보안 사고 간 연관성을 논할 때, 많은 사람들이 공격의 배후를 먼저 궁금해한다. 이 논제는 사람들의 ..

www.ahnlab.com

 

해킹방지워크샵 2020 (concert.or.kr/suf2020/main/index.php)에서 발표한 내용으로 글을 작성했습니다.

제목은 멋지게 뽑아줬네요. 저는 '사이버 위협 정보를 활용한 연관 보안위협 찾기'라는 밋밋한(?) 제목으로 작성했습니다.

 

이제는 보안팀에 분석가가 필요하다는 내용을 강조했는데 우리나라 현실상 대기업 아니면 보안팀에 분석가까지(!) 존재하기는 힘듭니다. 분석가가 있으면 이런 점이 좋다는 내용을 포함했지만 편집 과정에서 삭제되어 블로그에 정리해 봅니다.

 

----------------------------------------------------------------------------------------------------------------------------------------

 

기업이나 조직의 보안팀에서 사이버 위협 정보를 이용해 대응하고 나아가 적극적으로 위협을 찾기 위해서 어떻게 해야 할까?


보안팀은 내부 장비 현황 파악, EDR 등을 통한 내부 시스템 모니터링, 장기간 로그 수집, 내부에서 발견된 악성코드 보관 등을 준비하면 침해사고가 발생했을 때 분석에 도움이 된다. 이상 시스템에서 의심 파일을 찾을 수 있다면 보안업체에서 제공하는 정보 수집 도구를 보내고 결과를 받아 수상한 파일을 찾아 전송하는 커뮤니케이션 시간을 단축할 수 있다. 

공격자는 사용하는 보안 제품을 파악해 우회를 시도하며 공격을 진행한다. 보안 제품에서 일부 공격을 방어할 수 있지만 보안 제품만으로 모든 공격을 완벽하게 방어할 수 없다. 내부에서 발생하는 공격 시도와 침해 사고를 조사하고 관련 악성코드를 분석할 수 있는 분석가가 필요하다. 보안 업체의 도움을 받을 수 있지만 내부 시스템을 볼 수 있는 권한이 제한적이기 때문에 일정 규모 이상 되고 지속적인 공격을 받는 곳이라면 자체 분석가가 필요하다.

분석가는 각종 기사, 보안 업체와 보안 기관에서 공개하는 위협 분석 정보, 사이버 위협 인텔리 전스(TI) 서비스를 등을 통해 다양한 위협 정보를 수집하고 자사에서 발생하는 침해사고와 악성코드를 비교해 대응 방안을 마련해야 한다. 보안팀의 분석가가 모든 위협 정보를 파악하는 건 불가능에 가깝다. 따라서 자신의 업종이나 조직을 주로 공격하는 위협 그룹에 대해서는 공격 방식 등의 관련 정보를 비교적 상세하게 파악하고 있어야 한다. 보안팀에 사이버 위협 인텔리전스 서비스의 정보를 활용할 분석가가 없다면 TI 서비스의 활용은 떨어질 수밖에 없다. 

침해사고를 대응하고 분석할 수 있는 인력이 확보된 조직에서도 발생하는 침해사고 대응에 급급해 공격자가 누구인지 어떤 공격 방식을 구사하는지 제대로 파악하지 못하는 경우도 많다. 일반 기업은 보안회사 보다 악성코드 샘플이나 다양한 피해 사례 정보는 적을 수 있다. 하지만, 보안팀은 보안업체에서는 파악할 수 없는 내부 상황을 알 수 있고 지속적으로 공격하는 악성코드를 빨리 파악할 수 있는 장점이 있다. 보안 회사의 경우 여러 분석가가 다양한 샘플을 보기 때문에 지속적인 공격이 있을 때 동일한 분석가가 관련 샘플을 분석하지 않으면 모르고 지나 칠 수 있다. 공격자가 동시에 여러 곳을 활발하게 공격하지 않는 이상 어떤 악성코드를 추적하기로 결정하기 전까지는 모를 수 있다. 

각종 위협 정보는 내부 상황에 맞게 활용해 적극적으로 사이버 위협 사냥을 진행할 수 있다. 최근 위협분석 보고서에는 야라 룰(Yara rule)을 포함하는 경우가 있다. 내부에서 발견되는 샘플을 수집된 야라 룰로 진단해 관련된 정보가 파악되는 해당 악성코드 분석 내용을 바탕으로 공격자의 전술, 기법 및 절차 (TTPs, Tactics Techniques Procedures)를 파악해 방어 체계를 수립 할 수 있다. 또 발생하는 악성코드를 분석해 자사를 지속적으로 노리고 있다고 판단되면 야라 룰을 만들어 유사한 변형을 빨리 발견할 수 있도록 한다. 이외 MITRE ATTACK에서 정리한 공격 방법을 사내 보안 테스트에 활용해 어떤 부분에서 취약한지 확인 수 있다. 보안업체는 악성코드만으로는 공격 방식, 관련 취약점 등을 파악하는데 한계가 있으므로 보안팀의 역할이 필요하다.

변화하는 사이버 위협에 맞춰 이상적인 보안팀의 역할을 정리했지만 현실적으로 보안팀을 강화하기 위해서는 추가적인 인력이 필요해 일정 규모의 기업이나 조직이 아니라면 보안팀에 별도 대응 및 분석 조직을 함께 갖추지는 못한다. 기업이나 조직의 보안팀에 대한 인식 개선이 필요하다. 

 

----------------------------------------------------------------------------------------------------------------------

 

TI를 도입하려는 기업이 있다면 분석가가 없으면 도입한 TI를 IOC 정도의 반쪽만 활용 할 수 밖에 없습니다

 

국내에서도 기업 보안팀 내 분석가들과 협력하는 모습을 기대해 봅니다.

 

 

Posted by xcoolcat7

댓글을 달아 주세요

회사 책장을 정리하다 중학생 때 샀던 '바이러스 뉴스 1,2호'를 발견하고 집에 가져왔습니다.

30년 전 책을 보다가 예전 바이러스를 다시 분석해봐야겠다는 생각이 들더군요.

 

악성코드 아니 과거 컴퓨터바이러스(Computer virus)의 역사가 30년이 넘다보니 이제는 악성코드 고고학(Malware Archaeology)이란 단어도 탄생했습니다.

 

국내에는 딱히 할 사람도 없으니 한번 해봐야겠네요.

 

* 분석 정보

 

많은 백신 회사의 바이러스 정보는 2000년 초 웹으로 옮겨가고 사이트 개편 되면서 기존 바이러스 정보가 상당히 많이 누락되었습니다. 악성코드 고고학자(?) 입장에서는 상당히 아쉬운 부분입니다.

 

그래도 예전 자료가 일부 찾을 수 있습니다.

 

wiw.org/~meta/vsum/index.php : Patricia Hoffman's VSUM 으로 1998년까지 공개된 악성코드 정보인데 생각보다 잘못된 분석 내용이 보여서 참고만 해야합니다. 년도별로 발견된 바이러스 정보를 볼 수 있습니다.

 

 

* 책

 

- 바이러스 뉴스 1, 2호 (안철수 저, 달리만듦 기획, 성안당, 1990)

: 당시 컴퓨터 잡지 외에는 유일한(?) 컴퓨터 바이러스 정보 입니다. 직접 분석한 내용과 외국 자료를 번역해 실었습니다. 30 년이 넘은 책이라 상태가 좋지 않네요.

 

 

- A Pathology of Computer Viruse

www.springer.com/gp/book/9783540196105 

 

A Pathology of Computer Viruses | David Ferbrache | Springer

The 1980's saw the advent of widespread (and potentially damaging) computer virus infection of both personal computer and mainframe systems. The computer security field has been comparatively slow to react to this emerging situation. It is only over the la

www.springer.com

본문을 다 봤으면 좋겠는데.... 찾아봐야겠네요.

 

1986년에 발견된 바이러스는 Brain, Burger, VirDem이 있습니다.

 

 

이 바이러스들 부터 한번 분석해 볼까 합니다.

예전에 분석했던 것도 있는데 다시 봐야겠네요.

얼마나 분석 할 수 있을지는 모르겠네요.

 

Posted by xcoolcat7

댓글을 달아 주세요


(육아로, 귀차니즘으로) 많이 늦었습니다.


2017년 4분기 정보보안 소식



2017년 4분기 정보보안 소식_20180429_차민석.pdf


Posted by xcoolcat7

댓글을 달아 주세요

2017년 3분기 정보보안 소식


바빠서 이제 정리 했네요.... 

오늘 중으로 4분기도 끝내서 2017년은 정리하고 싶네요.



https://www.slideshare.net/JackyMinseokCha/2017-3-20180107




Posted by xcoolcat7

댓글을 달아 주세요


2017년 12월 7일 베이징에서 개최된 AVAR 2017에서 첫 영어로 발표를 했습니다


발표 주제는 Targeted attacks on major industry sectors in South Korea 였습니다.



https://www.slideshare.net/JackyMinseokCha/targeted-attacks-on-major-industry-sectors-in-south-korea-20171201-cha-minseokavar-2017-beijingfull-version


당연히(?) 스크립트를 읽을 수 밖에 없었습니다.

아... 안보고 하고 싶었지만 영어가 그만큼 안되어서요.


첫 영어 발표를 하고 느낀 점입니다


1. 영어 발표 전에 한국어 발표도 많이 해보자.


발표자들에게 물어보면 외국사람들도 긴장하게 됩니다. 그래서 발표 앞두고는 밥도 잘 안 먹는다고 하더군요. 저는 한국어 발표는 많이 해봐서 발표 때문에 긴장되지는 않았지만 영어 때문에 걱정만 했습니다.

결과적으로 발표 할 때 전혀 떨지는 않았습니다.


2. 발표자료는 살짝 길게 준비하자.


발표자들의 공통된 얘기였습니다

실제 발표 하다보면 말이 빨라지고 그냥 지나치는 내용도 있어서 연습도가 빨리 끝나게 된다고 하더군요. 그래서 30분 발표이면 30분 꽉 채워 준비하거나 31-32 분을 준비하는게 좋다고 했습니다.

저도 30분에 맞춰서 스크립트 준비하고 분 단위로 연습했습니다.


3. 스크립트를 읽어도 된다.


현장에서 바로 바로 영어 문장을 구사할 정도로 영어 실력이 안되니 결국 스크립트를 읽어야 합니다.
스크립트 자체도 발표 일주일 전에 나와서 출장가서 호텔에서 연습했습니다.
스크립트 읽는게 좀 부끄럽기도 했지만 발표 후에 보니 스크립트를 읽는 사람도 많았습니다.

4. 스크립트 준비는 다양하게 하자.


가장 편한 방법은 파워포인트에 스크립트를 포함시키는 건데 요즘은 노트북 없이 발표자가 화면을 보고 발표하는 경우도 많습니다.

현장 환경이 어떻게 되는지 알 수 없어서 저는 종이와 태블릿을 준비했습니다.


종이의 경우 조명 때문에 잘 안보이는 경우도 있다고 하더군요.

그래서 발표 전에 무대에 올라가서 종이가 잘보이는지 확인했습니다.


5. 안되는 단어는 쉬운 단어로 바꾸자.


회사에서 지원을 받아 전문 번역가의 도움으로 영문 스크립트를 작성했습니다. 하지만, 제 의도와는 다르게 해석된 부분도 있어 스크립트를 일부 손봐야 했는데 가장 큰 문제는 익숙하지 않는 단어였습니다.
이상하게 몇몇 단어는 발음 연습을 아무리 해도 잘 안되더군요.
그래서 그 단어를 모두 제가 잘 알고 있고 쉬운 단어로 다 바꿨습니다.
발표 듣는 사람들도 영어를 모국어로 사용하지 않는 경우도 많아 쉬운 단어를 사용해도 큰 상관 없다고 합니다.

6. 자신감을 가지자 !


안되면 그냥 스크립트 읽어 버리자 !

라는 생각으로 발표를 진행했습니다.


2018년에는 다른 컨퍼런스도 도전하고 싶은데....

한번 발표해도 역시 영어로 발표하는건 쉽지 않네요.




Posted by xcoolcat7

댓글을 달아 주세요


2017년 1분기 정보보안 소식입니다.

4월에 끝냈는데 이제 공개 합니다.


1분기에도 랜섬웨어 이슈가 컸습니다.



2017년 1분기 정보보안 소식_20170528_차민석_공개판.pdf


Posted by xcoolcat7

댓글을 달아 주세요


* 세계 최초 컴퓨터 바이러스 중 하나

세계최초 컴퓨터 바이러스 얘기 중에 빠지지 않는 바이러스가 Richard Screnta 의 Elk Cloner 바이러스입니다. 1981년 8비트 애플2 컴퓨터용으로 제작되어 1982년 퍼집니다. 1986년 제작된 브레인 바이러스보다 5년 정도 빠릅니다. 하지만, 애플2는 8 비트 컴퓨터로 현재 흔히 PC라 불리는 IBM PC와는 다릅니다. 따라서, 기준에 따라 최초의 컴퓨터 바이러스는 Elk Cloner 혹은 브레인 바이러스가 되기도 합니다.

1990년 제작자가 직접 글을 남기기도 했습니다.

http://www.skrenta.com/cloner/clone-post.html


* 감염 디스크와 소스코드

제작자는 자신의 홈페이지에 감염 디스크와 소스코드를 올려두었습니다.

* 소스코드 : http://www.skrenta.com/cloner/clone-src.txt

설명하나 없는 어셈블리 코드를 보면 사실 막막합니다. 인텔 어셈블리는 알지만 6502 어셈블리는 모르니 명령어를 보고 이게 어떤 의미일까 대충 예상만 했죠. 

감염 디스크 이미지도 올라와 있어 애플 에뮬레이터에서 실행해 봤지만 다른 디스크로 감염이 안되더군요. 그렇게 지난 몇년 동안 디스크 이미지를 가지고만 있었습니다.


Elk Cloner 소스코드Elk Cloner Source Code



* 분석

어느날...
이 애플2 컴퓨터 바이러스가 생각났고 주말에 시간이 좀 나서 한번 볼까 합니다.
그렇게 토요일 오후와 일요일 동안 소스코드를 하나하나 따라가며 주석도 달기 시작합니다.
덕분에 기본적인 6502 어셈블리, 애플 2 메모리 구조, CALL-151 명령, DOS 3.3 구조도 조금씩 알게되었습니다.

Elk Cloner virus analysis Elk Cloner virus analysis




* 변조된 DOS 3.3 = 바이러스 코드

많은 자료에 이 바이러스는 부트 바이러스라고 합니다. 그래서 MS-DOS에서 부트 바이러스와 비슷한 구조가 아닐까 생각했는데 다르더군요. 제 생각에 부트 바이러스 보다 MS-DOS의 시절 도스 커널을 감염 시키는 바이러스나 요즘의 부트킷(Bootkit)의 선조격이라고 해야하지 않을까 합니다.

애플 DOS 3.3에서 INIT 명령으로 디스크를 포맷할 때 DOS 3.3도 같이 설치됩니다. MS-DOS 시절 포맷 명령에 /S를 해서 부팅 디스크를 만드는 것과 동일하다고 생각하면 됩니다.

감염 전과 감염 후 디스크 이미지를 비교하면 부트 레코드는 변한게 없습니다. 다만 DOS 3.3 코드 일부분이 패치되어 있습니다. (4C 00 9B는 JMP 9B00입니다.)



실제 바이러스 메인 코드는 DOS 3.3에서 사용하지 않는 디스크 영역에 보관된다고 합니다.

감염 전과 감염 후를 비교하면 빈영역에 바이러스 코드가 존재하는걸 알 수 있습니다.



부팅한 DOS 3.3 자체가 바이러스이기 때문에 별도의 메모리 상주를 할 필요는 없습니다.

바이러스 감염 여부는 CALL-151로 모드를 변경하고 9000L로 9000 주소를 디스어셈블해보면 됩니다.

깨끗한 DOS 3.3으로 부팅하면 9000 번지에 별다른 내용이 없습니다.
- 시스템에 따라 다를 수 있습니다.

정상 DOS 3.3


하지만, 감염된 디스크로 부팅하면 02 (바이러스 버전)과 [004C]주소에 0xFF 값을 넣는 바이러스 초반부 코드를 볼 수 있습니다.

바이러스 감염 디스크로 부팅



* DOS 3.3 메모리 변조

바이러스는 베이직 코드를 실행하는 RUN 코드를 패치하고 베이직 로드 (LOAD), 기계어 로드(BLOAD), 파일 목록보기(CATALOG)를 후킹합니다.

이외 사용자 정의 코드도 가집니다. 사용자 정의 코드를 어떻게 실행하는지는 아직 잘 모르겠네요.

CATALOG 후킹 방식을 살펴보겠습니다

우선 DOS 3.30에서 CATALOG 명령 입력 하면 0xA56E 주소 코드가 실행된다고 합니다. 바이러스는 해당 주소에 바이러스로 점프하는 코드를 넣습니다.

메모리 변조 코드를 보면 0xA56E 부터 0xA570에 0x4C, 0xB6, 0x90 코드를 넣는걸 볼 수 있습니다.


정상적인 DOS 3.3의 0xA56E 코드는 아래와 같습니다.


하지만, 감염된 시스템은 CATALOG 명령을 입력하면 0x90B6으로 점프 합니다.


0x90B6으로 가면 원래 감염 여부 확인을 하고(JSR $9074) 원래 CATALOG 명령 (LDA #$06, JSR $A2AA ...)을 그대로 수행합니다.


후킹이라고 생각한 부분에서 원본 코드 백업을 안해서 의아했는데 원래 DOS 3.3 의 코드를 아예 가지고 있더군요.
당시에는 DOS 3.3을 대부분 사용했으니 큰 무리가 없었겠죠.
 
MS-DOS 시절 특정 버전에서만 동작하는 Tenbytes 바이러스와 유사하다고 볼 수 있겠죠. 따라서, 이 바이러스는 DOS 3.3 에서만 활동하고 다른 버전이나 변형된 DOS 3.3에서는 오동작 할 수 있을 겁니다.


* 감염

소스코드를 보면 CATALOG 명령 등으로 디스크를 읽을 때 바이러스가 감염되어야 합니다. 하지만, 어떤 이유에서인지 제대로 감염되지 않네요.

아직 제가 애플 디버깅에 익숙하지 않아서 원인을 파악하지 못했습니다.

강제로 감염 시키려면 CALL-151 후 감염 시킬 디스크를 넣고 90DAG 하면 감염 루틴이 실행되고 디스크는 바이러스에 감염됩니다.

이부분을 성공했을 때 정말 눈물(?) 나더군요.
감염 디스크를 만들기 위해 몇년을 기다렸던가 !!!!!!!

* 증상

많은 분석 내용을 보면 50 번 부팅 때 마다 메시지를 출력한다고 되어 있습니다.
하지만, 분석해보면 감염된 디스크로 부팅 횟수에 따라 다른 증상이 존재합니다.

  10 회 (0x0A) : [03F2.03F3] = 0x69FF  저장
  15 회 (0x0F) : [0032] = 3F - INVERSE Mode
  20 회 (0x14) : LDA $C030 3회 - beep 음
  25 회 (0x19) : [0032] = 7F - 반짝 반짝 모드
  30 회 (0x1E) : CATALOG 명령 수행 할 때 파일 종류 (I, T, B, A) 순서 변경해 타입이 이상하게 나옴
  35 회 (0x23) : [AAB2] = 0x85
  40 회 (0x28) : AUTOSTART ROM RESET routine address 내용 변경
  45 회 (0x2D) : [00D6] = 0x80
  50 회 (0x32) : 메시지 출력
  55 회 (0x37) : [BD03] = FF RWTS main entry
  60 회 (0x3C) : [BD03] = 0x20
  65 회 (0x41) : [A180.A182] = 4C 69 FF (JMP FF69)
  70 회 (0x46) : [BD03] = 0x10
  75 회 (0x4B) : JMP $C600 (재부팅 됨)
  76 회 (0x4C) : JMP $C600 (재부팅 됨)
  77 회 (0x4D)  : JMP $C600 (재부팅 됨)
  78 회 (0x4E)  : JMP $C600 (재부팅 됨)
  79 회 (0x4F) : [B3BF] = 00 ... [B3BF]는 부팅 횟수로 이 값이 초기화됨

헉... 정말 많습니다.

주소에 데이터 넣는건 애플 레퍼런스를 참조하면 될텐데 아직 정확한 의미는 못 찾았습니다.
- 귀찮기도 하고...

15번 째 부팅하면 INVERSE MODE가 됩니다.



79번째 부팅하면 부팅 횟수 카운터가 0 이되기 때문에 80 번째 부팅하면 감염 초기와 같습니다. 따라서 95 회 때 INVERSE Mode, 대략 130 번째 부팅 때 메시지가 출력 됩니다. 50 번 부팅 할 때 마다 메시지 출력은 잘못된 분석입니다.

그런데 감염 디스크로 이런 저런 증상을 확인했는데 50번째 부팅 했을 때 메시지는 안나타나더군요.
- 어떤 행위가 있을 때 증상이 나타난다고 하는데 다음에 시간되면 한번 분석해 봐야겠습니다.
결국 CALL-151로 들어가서 92FFG로 강제 실행해서 그렇게 보고 싶었던 메시지를 봅니다.

ELK CLONERELK CLONER message



* 미해결 사항

언제 시간이 될 때 다음 사항을 확인해 보고 싶습니다.


 1. 변경되는 나머지 주소의 목적
 2. 자세한 디스크 감염 알고리즘
 3. CATALOG 명령 등으로는 감염 안되는 원인 
 4. 50 번 째 부팅 때 메시지가 출력 안되는 원인
 5. 바이러스가 만든 유저 명령 수행

- 혹시 아시는 분은 연락주셔도 됩니다 ^^


* 맺음말

1980년대 초 제작된 바이러스를 분석해 봤습니다.
오랫만에 정말 재미있게 분석해 봤네요. 역시 90년대 이전 샘플 분석이 재미있습니다.

바이러스 분석 덕분에 간단하지만 6502 어셈블리와 애플2 컴퓨터 내부도 공부했습니다.
(추가 : 최초 글 쓰고 5년 지난 2017년 현재... 명령 거의 잊어버렸네요 TT)

컴퓨터 바이러스라는 개념이 존재하기도 전에 이런 코드가 만들어 졌다니 신기하면서도 현재 악성코드에서 사용되는 기법이 이때도 사용되고 있다는걸 알 수 있었습니다.


Posted by xcoolcat7

댓글을 달아 주세요

  1. 영상 2012.03.26 08:06  댓글주소  수정/삭제  댓글쓰기

    애플2 빌려주리????ㅋ

    본체만 남아있음..ㅋ

    • xcoolcat7 2012.03.26 08:50 신고  댓글주소  수정/삭제

      와... 보물을 가지고 있다니 ! 몇몇 사람들은 추억으로 옛날 컴퓨터를 사기도 하더만... 난 그냥 에뮬레이터로 만족 ㅎㅎ

  2. crattack 2012.03.26 10:20  댓글주소  수정/삭제  댓글쓰기

    고생 하셨을꺼 같네요.
    엄청난 내용이네요.

    감사히 잘보고 가겠습니다. ( _ _)

  3. 영상 2015.11.04 06:46  댓글주소  수정/삭제  댓글쓰기

    애플6 빌려줄리????ㅋ


    본체만 남아있음..ㅋ

  4. crattack 2015.11.04 06:47  댓글주소  수정/삭제  댓글쓰기

    고생 하셨을꺼 같네요.
    엄청난 내용이네요.


    감사히 잘보고 가겠습니다. ( _ _)

  5. 쿨캣 2015.11.05 06:39  댓글주소  수정/삭제  댓글쓰기

    와... 보물을 가지고 있다니 ! 몇몇 사람들은 추억으로 옛날 컴퓨터를 사기도 하더만... 난 그냥 에뮬
    레이터로 만족 ㅎㅎ

  6. 쿨캣 2015.11.05 06:40  댓글주소  수정/삭제  댓글쓰기

    엄청난 내용까지는 아니고.. 흥미로운 내용이긴 합니다 ㅎㅎ

  7. 소액결제 현금화 2017.11.19 03:30  댓글주소  수정/삭제  댓글쓰기

    엄청난글 잘보고 갑니다 ~~

  8. 알바 추천 2017.11.26 17:30 신고  댓글주소  수정/삭제  댓글쓰기

    엄청나네요 ㅎㅎㅎㅎ

  9. 강남 2018.10.10 03:31  댓글주소  수정/삭제  댓글쓰기

    잘보고 갑니다 ^^

첫 설치 제품은 방화벽 프로그램인 아웃포스트 (Outpost)로 유명한 러시아의 Agnitum 입니다.


http://www.agnitum.com/index.php


Yandex가 2015년 Agnitum를 인수했습니다. 별도로 제품을 공개하지는 않고 얀덱스 브라우저에 들어가게 되었습니다. 2017년 1월 9일까지 지원 한다고하네요.



그래서 지원 종료 전에 기록을 남기기 위해 설치해 봤습니다.


* 설치


32 비트와 64 비트 설치 파일이 존재하고 당연히 32 비트 설치판은 64 비트 시스템에서 설치되지 않습니다.


2017년 1월까지 지원되어서 더 이상 공식 홈페이지에서 설치 파일을 다운로드 할 수 없어 인터넷에서 설치판을 구했습니다


7.1의 설치 화면입니다.




8.0 설치 후 업데이트 화면입니다

업데이트 시간이 꽤 오래 걸립니다. 몇 년 치를 업데이트해서 그렇겠죠.




바이러스버스터 시그니처 파일 업데이트 중입니다.





* UI


7.1의 화면입니다.




8.0의 화면입니다.



기능을 살펴보다가 애플리케이션 별로 룰을 설정하는게 있네요.









* Engine


아웃포스트는 헝가리 바이러스버스터(Virusbuster) 엔진을 사용합니다. 바이러스버스터는 2012년 개발이 중단되고 명맥이 끊길 줄 알았는데 Agnitum에서 관련 기술을 인수해서 계속 개발을 진행했습니다.


7.0에서는 VirusBuster가 디지털 서명에 있지만 8.0에서는 Agnitum 으로 변경되었네요.



하지만, 여전히 VirusBuster의 흔적을 찾을 수 있었습니다.




 

Posted by xcoolcat7

댓글을 달아 주세요


바이러스블루틴(Virus Bulletin)의 VB100 테스트를 보다가 모르는 백신 프로그램이 너무 많아졌네요.


https://www.virusbulletin.com/testing/vendors/active/vb100-antimalware





이 프로그램을 한번 테스트 해봐야겠다는 생각이 들었습니다


시간 날 때 틈틈히 테스트 해봐야겠네요.


- 테스트 환경 : VMware 12 내 한글 Windows 7 64 비트 버전



Posted by xcoolcat7

댓글을 달아 주세요

[발표자료] 2016년 4분기 주요 정보보안 소식


오랫만에 포스팅 하네요.

발표자료를 계속 만들긴 했지만 블로그 작업을 자주 못하니 보니 (...)


2016년 4분기 주요 정보보안 소식_20170101_차민석_공개판.pdf


2016년 4분기에는 국내 이슈 보다 외국 이슈가 더 많았습니다.

IoT 를 이용한 DDoS 공격, 미국 대선 개입 의혹 등


러시아의 미국 대선 개입 의혹은 관련 악성코드도 공개되었으니 2017년 1분기 때 한번 파 봐야겠네요.


http://www.slideshare.net/JackyMinseokCha/2016-4-20170101


Posted by xcoolcat7

댓글을 달아 주세요