랜섬웨어전문솔루션 appcheck prohoovertech.com/_down.html?fname... · 7...
TRANSCRIPT
상황 인식 기반 행위 탐지로정교하고 완벽하게
랜섬웨어 전문 솔루션
AppCheck Pro
목차
1.
2.
3.
4.
5.
6.
7.
개요
시장현황
기술 검증
CARB 엔진 방어 동작 원리
AppCheck Pro
레퍼런스
참고자료
회사 소개
3
• 회사명: 주식회사 체크멀
• 대표자: 김정훈
• 설립일: 2016년 4월 1일
• 등록번호: 615-86-16477
• 주소: 경기도 성남시 분당구 대왕판교로 660, 유스페이스1 A동 303호
• 투자사: 프라이머
• TIPS 프로그램 선정: 상황 인식 기반 랜섬웨어 탐지 기술 연구
www.primer.kr www.jointips.or.kr
1. 개요 | 랜섬웨어란?
4
사용자의 PC에 존재하는 문서, 사진, 동영상 등을 암호화하여 사용하지 못하게 만들고 이를 인질로 삼아 몸값(Ransom)을 요구하는악성코드입니다. 랜섬웨어의 하나인 CryptoWall은 현존하는 최고의 공개키 암호알고리즘인 RSA-2048을 사용하여 암호화 합니다. 암호화된 파일은 복호화 키 없이는 복구가 불가능해 매우 치명적입니다.
감염 전 원본 문서와 사진 랜섬웨어로 파괴된 문서와 사진
1. 개요 | 국내 랜섬웨어 위협 인식 확산
5
공공·금융·기업 등의 정보보안 담당자들을 대상으로 한 설문조사에서 10명중 5명이 랜섬웨어가 가장 위험하다고 평가하였으며, 2016년에도 가장 치명적인 위협이 될 것으로 예상하였습니다.
출처: 월간 네트워크타임즈 (설문대상: 375명)
2016년 예상되는 치명적인 위협출처:월간 네트워크타임즈
2015년 발생한 가장 위험한 보안사고출처:월간 네트워크타임즈
48.0%
17.6%
4.8%
20.0%
7.2%
2.4%
랜섬웨어 APT 공격 모바일
보안
개인정보
유출
Drive By
Download
취약점
공격
랜섬웨
어
29.3%
APT 공격
18.0%
개인정보
유출
15.3%
모바일 보안
18.7%
전자금융사기
4.0%
취약점 공격
14.7%
1. 개요 | 국내 대형 커뮤니티 CryptXXX 랜섬웨어 유포
2016년 6월 국내 대형 커뮤니티에 서비스되는 광고 서버를 통해 CryptXXX 랜섬웨어가 유포되었습니다.
웹 페이지를 방문하는 것만으로도 감염이 되는 CryptXXX 랜섬웨어로 많은 사용자 피해가 발생하였습니다.
0
20
40
60
80
100
120
140
04-0
9
04-1
1
04-1
3
04-1
5
04-1
7
04-1
9
04-2
1
04-2
3
04-2
5
04-2
7
04-2
9
05-0
1
05-0
3
05-0
5
05-0
7
05-0
9
05-1
1
05-1
3
05-1
5
05-1
7
05-1
9
05-2
1
05-2
3
05-2
5
05-2
7
05-2
9
05-3
1
06-0
2
06-0
4
06-0
6
06-0
8
crypt cryp1 crypz
변종 개발 및 테스트
2차 커뮤니티 유포총 사전 방어 건수: 771건
1차 커뮤니티 유포
최초 유포시점
6
1. 개요 | 2015년 랜섬웨어 전세계 피해 급증
7
세계적으로 2015년에 380만개의 랜섬웨어가 새로 발견되었으며, 2014년 대비 6배 이상 급증하였습니다.
그중 가장 유명한 CryptoWall에 의해 발생된 단일 랜섬웨어 피해액은 미화 3,250만 달러 (한화 386억원)이었습니다.
CryptoWall의 감염 비율은 전체 랜섬웨어 중 20~30%로 예상되며, 랜섬웨어 총 피해액은 약 9,500만 달러(한화 1,000억원)로 추정됩니다.
연간 발견된 전세계 랜섬웨어출처:McAfee Labs 단위: 개
20132014
2015
1,091,900
615,000
3,805,000
단일 랜섬웨어의 피해출처:CyberThreatAllance
항목 상세 내용
이름 CryptoWall 3
기간 2015.1~2015.11
피해액 $USD 3,250만 (한화 386억)
감염회수 406,887회
샘플 수 4,046개
C&C URL 839개
주요 감염 경로 피싱 이메일
키워드internal, invoice, fax, statement, ZIP, PDF, Office Files
훼손된 문서와 사진
1. 개요 | 랜섬웨어 대응 기술 현황은?
8
랜섬웨어 대응 기술에는 크게 사전 방어와 백업(사후 복원)으로 나뉘며 사전 방어는 랜섬웨어의 동작을 미리 차단하고 방어하기 때문에가장 이상적인 기술이지만 현재까지 랜섬웨어를 원천적으로 차단하는 기술은 개발되지 않았습니다. 그렇기에 백업이 유일한 대안으로부각되고 있습니다.
랜섬웨어
현재 유일한 대안
백업
가장 이상적인 대응
사전 방어
원본 문서와 사진
복원
1. 개요 | 사전 방어와 백업의 상호 보완
9
사전 방어와 백업은 상호 보완적으로 적용하는 것이 랜섬웨어 대응에 가장 효과적이라고 할 수 있습니다.
앱체크에는 백업의 단점을 보완하고 상황 인식 기반 랜섬웨어 사전 방어 기술이 탑재 되었습니다.
백업사전 방어
사후 복구사전 대응
낮음높음
높음보통
대응 방식
편리성
안전성
백업되지 않은 데이터 복원방안
방어 실패 시 대안 필요보완점
낮음높음가용성
1. 개요 | 기존 콘텐츠 기반 기술의 한계
10
정상 프로그램과 악성코드를 구분하려면 악성코드만 사용하는 URL, 파일이름, 레지스트리 값, 경로 등의 콘텐츠를 활용해야 합니다.기존의 탐지 기술은 다양한 악성코드의 정보 즉 콘텐츠 DB를 참조해야 하기 때문에 콘텐츠에 부합되지 않는 새로운 랜섬웨어 출현시 탐지가 불가능한 한계를 나타내고 있습니다.
Signature Based시그니처우회테스트후악성코드를유포하기때문에신종탐지불가
Behavior Based행위기반 룰과 MetaData의
업데이트 필요
NetworkIP/Domain 정보
업데이트
Sandbox행위기반 룰과 MetaData의
업데이트 필요, 샌드박스 우회일반화
콘텐츠 데이터베이스 업데이트 필요신종 랜섬웨어의 사전 대응 어려움
탐지 방법:- Signature based: 파일을 진단할 때 사용되는 탐지 방법으로 주로 파일내의 특정 부분을 해시로 변환하여 참조하는 방법- Behavior based: 악성코드가 수행하는 특정 행위를 패턴화시켜 탐지하는 방법- Sandbox: 가상환경안에서 악성코드를 실행시켜 행위 등을 보고 탐지하는 방법- Network: 네트워크상의 통신 정보를 기반으로 악성코드를 탐지하는 방법
1. 개요 | 비(非) 콘텐츠 기반 기술의 한계
11
콘텐츠 기반 기술을 보완하고자 개발된 기술도 각각의 한계가 존재하여 이를 극복할 만한 기술이 요구되고 있는 실정입니다.
이메일등으로 유입되는랜섬웨어 대응 불가
Exploit 탐지어플리케이션의
취약점 발생 시점에 탐지
미끼 파일 우회 랜섬웨어대응 불가
Decoy Based미끼 파일을
변조한 프로세스의 탐지
모든 정책 수동 추가 불가사용자 편의성 떨어짐
ACL 기반보호대상을 지정하거나
변경 권한 부여 어플리케이션 등록
탐지 방법:- Decoy based: 임의의 미끼 파일을 생성하여 악성코드가 해당 파일을 변조할 때 탐지하는 방법- Exploit 탐지: 어플리케이션의 취약점을 통해 비정상적으로 실행되는 코드를 탐지하는 방법- ACL 기반: 특정 어플리케이션에 권한을 지정하여 다른 어플리케이션은 접근이 불가능하도록 통제하는 방법
1. 개요 | 상황 인식이란?
12
주변의 패턴이나 환경 등, 모든 정보를 종합하여 상황을 인지하고, 그 상황에 맞도록 최적의 대응 행동을 수행하는 것입니다.
자율주행 자동차출처:Tesla
구글 나우출처:Google
지능형 CCTV출처: (주)한소리
기존 기술의 초점
1. 개요 | 상황 인식 기반 랜섬웨어 탐지 기술
13
상황 인식 기반 랜섬웨어 탐지 기술은 기존 방식처럼 랜섬웨어 콘텐츠를 보는 것이 아니고 파일의 변조 시점에 정상적 변경과
악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능합니다.
TeslaCrypt
Spreadsheet
Malware
CAD
Utilities
Locky
Shade
PowerWare
Design Tools
Presentation
파일 변경 시점상황 인식
악의적 변경
Disk AccessBrowser Exploit
Mail AttachmentsCreates File
Deletes FileAttribute Change
Connect Network
Change extensions
Mail Attachments
File Modification
Rewrites FileOpen and Read
Remote DownloadsPersonal Info Leak
Access Browser
Unknown
랜섬웨어콘텐츠에 집중
정상적 변경
CryptXXX
상황 인식 초점
1. 개요 | 파일 변경 시 획득할 수 있는 정보
14
파일이 변경될 때 확인할 수 있는 정보는 생각보다 다양하며, 이를 추적하고 관리하였을 경우
정상적인 파일의 변경과 비정상적 변경 구분이 가능합니다.
CARB 엔진의 주요 관심 포인트Context Awareness Ransomware Behavior detection engine
상황인식 랜섬웨어 행위 기반 엔진
헤더Header
본문Body
상황 분석 관리자Context Manager
본문의 변화
엔트로피의 변화
파일 업데이트 시간
Process Lifecycle Management
파일 이름 변경 등
파일 헤더 구조
파일 헤더의 변경
본문 사이즈의 변화
2. 시장 현황 | 관련 솔루션 분석
15
캅(CARB) 엔진은 상황 인식 기반의 행위 탐지 기술로 파일 변조 시점의 상황을 판단하며 변조 전후 시점을 파악하므로
기존 솔루션에서 불가능했던 파일의 변화를 실시간으로 분석, 알려지지 않은 랜섬웨어의 탐지가 가능합니다.
구분 CARB 엔진 백신APT 방어솔루션
백업/복구솔루션
파일 서버문서중앙화
사전방어 탐지세부 항목
시그니처 우회 변종 파일 ○ ○ ○ ⅹ ⅹ ⅹ
미끼 파일 포함한 파일 암호화 ○ △ △ ⅹ ⅹ ⅹ
미끼 파일 우회한 파일 암호화 ○ ⅹ ⅹ ⅹ ⅹ ⅹ
확장명 우회 후 암호화(파일 변경 추적)
○ ⅹ ⅹ ⅹ ⅹ ⅹ
복호화 결제 안내 파일 삭제(파일 생성 롤백)
○ ⅹ ⅹ △ △ △
탐지전 암호화 된 파일 복구(파일 훼손 롤백)
○ ⅹ ⅹ ○ △ ○
비암호화 파일 훼손 인식 ○ ⅹ ⅹ ⅹ ⅹ ⅹ
정상적인 파일 수정 행위 인식(변화 분석)
○ ⅹ ⅹ ⅹ ⅹ ⅹ
생성/변경/덮어쓰기/삭제상황별 연계 분석
○ ⅹ ⅹ ⅹ ⅹ ⅹ
프로세스별 행위 연계 추적 ○ △ △ ⅹ ⅹ ⅹ
메모리 Mapped 방식 I/O 탐지 ○ ⅹ ⅹ ⅹ ⅹ ⅹ
3. 기술 검증 | 상황 인식 기반 안티랜섬웨어
16
2015년 12월 상황 인식 기반 기술로 동작하는 AppCheck 1.0 제품을 무료로 출시, 지난 8개월 동안 기술의 안정성을 확보하였습니다.
8개월
검증 기간
3회
3회 업데이트로신종 랜섬웨어 100%
차단
12만
사용자 수
헐...대박...앱체크 사랑합니다ㅠㅠ지금 쓰고 있는데 앞으로랜섬웨어 걱정은 많이 안해도되겠네요!!
ㅁㄴ** (ryo*******)
와 대박!!!세계 유일의 랜섬웨어가드백신이라니 놀랍습니다. 대단해요!!!!
Vic*** (ris*****)
저 오늘 기안서 썻습니다.그냥 마음에 들었습니다. 회사인지도도 없고 아직스타트업이라 조직도 제대로없는 것 같은데 다 제쳐두고 제품자체는 만족이었습니다.
바람**(mmma****)http://cafe.naver.com/peopleofit/13585
몇일 사용 안했지만 굉장한프로그램이란 느낌이오더라구요,, ^^;그래서 오늘 바로 기안 올려 구매하였습니다. 앞으로 좋은프로그램 부탁 드립니다.
T사 전산관리자
오늘 인터넷 사용하다가 차단을해줘서 살았네요. 설치 안 했다면 큰일 날뻔했어요.정말 감사합니다.
poo**** (poo****)
나를 살려준 앱체크(AppCheck)앱체크가 실시간 감지로차단시키고 파일들 모두복원시켜 주었습니다. 시스템재부팅하여도 실행되는데 이때도앱체크가 막아주었고요. 오늘하루 식겁한 하루였네요 문서가많은데 다 날릴뻔 했습니다.
철*(pj55****)
Voice of customers
3. 기술 검증 | 신종 랜섬웨어 사전 방어율
17
CARB 엔진은 단 3회의 업데이트만으로 30종의 신종 랜섬웨어를 100% 사전 방어에 성공하였습니다.
(시그니처 방식의 엔진은 0%). 이는 시그니처 방식 엔진의 약 400회 업데이트에 해당하는 기간입니다.
05.17 JohnyCryptor
05.16 LoroBot
05.13 Mischa (.랜덤)
05.11 Bucbi
05.10 7ev3n-HONE$T (.R4A)
05.09 CryptoMix
05.07 7ev3n (.R5A)
05.04 Enigma (.enigma)
05.03 TrueCrypter (.enc)
05.02 Alpha (.encrypt)
04.29 CryptFIle2
04.26 CrytoWall (.locked)
04.25 CryptoHasYou (.enc)
04.24 CryptXXX (.crypt)
04.20 AutoLocky (.locky)
04.12 Jigsaw (.fun)
04.08 TeslaCrypt (.exx)
04.06 Shade
04.04 Rokku (.rokku)
03.29 PowerWare
03.28 PETYA (MBR변조)
03.25 Maktub Locker
03.15 TeslaCrypt 4.0
03.08 Cerber (.cerber)
02.19 Locky (.locky)
02.18 CrytoWall (랜덤)
02.17 TeslaCrypt (.124234)
02.14 TeslaCrypt (.mp3)
02.14 DMA Locker
02.14 HydraCrypt
2월 3월 4월 5월
신종(Unknown) 랜섬웨어 사전 방어율
100%
2016년
: 엔진 업데이트 없이 방어 가능
: 엔진 업데이트 후 방어 가능
3. 기술 검증 | 엔진 안정성
18
랜섬웨어의 상황인식 기반 엔진은 커널 레벨에서 동작해야 하는데, 속도와 안전성 그리고 호환성을 보장하는 커널 드라이버 개발은
수년간의 경험이 뒷받침 되어야 하며, 제한된 환경에서 다양한 기능을 추가하는 일은 높은 기술적 난이도를 요구합니다.
CARB엔진은 월 11만명 규모의 사용자 환경 확보로 다양한 환경에서의 안정성을 검증 받았습니다.
2016-05-22
64,811
2016-07-05
120,893
50,000
60,000
70,000
80,000
90,000
100,000
110,000
120,000
130,000
월간 활성 사용자 (MAU)
120,893 명
3. 기술 검증 | 시스템 부하 (Performance)
19
PCMark7를 이용한 시스템 부하를 측정한 결과 CARB엔진을 사용한 AppCheck는 시스템 영향이 가장 작은 것으로 확인 되었습니다.
PCMark7은 PC의 전반적인 성능을 측정하는 벤치마크 프로그램으로, 일상적으로 수행하는 작업에서 PC의 성능을 점수로 표시합니다.
미설치
4554AppCheck 1.0
4546
Windows
Defender
4545
AhnLab V3
4537
MalwareBytes
Anti-Ransomware
4508
4490
4500
4510
4520
4530
4540
4550
4560
항목 테스트 PC 상세 사양
CPU Intel Core i5 4250U 2.60Ghz
Architecture Haswel ULT
Memory DDR3 16GB
Graphics Intel HD Graphics 5000
OS Windows 10 Pro K (64bit)
Disk Samsung SSD 840 EVO 250GB
*점수가 높을수록 좋음
4. CARB 엔진 방어 동작 원리
20
롤백을 위한
행위 추적
- 확장자 변경 후 암호화
- 자가 복제 파일 생성
- 결제 안내 파일 생성
- 원본 파일 백업
- 비암호화 파일 훼손
- 정상 파일 수정 인식
- 파일 변화 연계 분석
- 프로세스별 파일 접근
사전 행위기록/분석
실시간원본 백업
파일변경시비정상상황
인식
차단 및자동 복구
파일변경, 생성,훼손, 삭제행위 기록
파일훼손 탐지
훼손 전파일 보호
사용자개입 불필요
4. CARB 엔진 방어 동작 원리
21
무(無)패턴
파일 변경 상황 인식
- 근본적 변조 상황 인식
- 정상 변조 상황
- 다수 훼손 상황 인식
사전 행위기록/분석
실시간원본 백업
파일변경시비정상상황
인식
차단 및자동 복구
파일변경, 생성,훼손, 삭제행위 기록
파일훼손 탐지
훼손 전파일 보호
사용자개입 불필요
4. CARB 엔진 방어 동작 원리
22
암호화 전
실시간 파일 백업
- 파일의 변경 전 실시간
파일 백업
- 정상 상황에서도 일부
백업
- 임시 보관 후 자동
삭제
사전 행위기록/분석
실시간원본 백업
파일변경시비정상상황
인식
차단 및자동 복구
파일변경, 생성,훼손, 삭제행위 기록
파일훼손 탐지
훼손 전파일 보호
사용자개입 불필요
4. CARB 엔진 방어 동작 원리
23
백업된 파일
자동 복구
- 탐지 전 일부 훼손된
파일은 자동 복구
- 탐지 전 랜섬웨어가
수행한 파일 변경 행위
원상 복구사전 행위기록/분석
실시간원본 백업
파일변경시비정상상황
인식
차단 및자동 복구
파일변경, 생성,훼손, 삭제행위 기록
파일훼손 탐지
훼손 전파일 보호
사용자개입 불필요
5. AppCheck Pro | 개요
24
국내에서 유일하게 랜섬웨어의 사전 방어와 실시간 백업, 자동 백업의 3중 보호 솔루션을 탑재한 PC용 안티랜섬웨어 제품입니다.
AppCheck Pro
지원 OS
Windows 7 (SP1) 이상
지원 언어
한국어 / 영어 / 일본어
주요 기능
랜섬웨어 사전 방어
자동 백업
폴더 보호
국내유일
5. AppCheck Pro | 주요 기능
사전 방어 랜섬웨어 대피소 자동 백업
캅(CARB) 엔진을
이용한 랜섬웨어 행위
탐지 시 자동으로
악성 프로세스 차단
및 훼손된 파일 자동
복구 기능
파일 훼손 행위 발생 시
자동으로 랜섬웨어
대피소 백업 폴더에
원본 파일 저장을 통한
데이터 보호 기능
주기적으로 지정된
폴더 내의 파일을
파일 히스토리
방식으로 자동 백업
폴더에 백업하는
데이터 2중 보호 기능
25
5. AppCheck Pro | 주요 기능
랜섬웨어 행위
탐지를 통해 차단 및
생성된 관련 파일에
대한 선별적 자동
치료(삭제) 기능
랜섬웨어 대피소와
자동 백업 폴더 내에
저장된 파일에 대한
변경 및 삭제를 원천
차단하는 폴더 보호
기능
시스템 검사 결과,
검역소, 위협 로그,
일반 로그 세분화 및
세부적인 복원/제거
로그 제공
자동 치료 폴더 보호 상세 내역
26
5. AppCheck Pro | 제품 사용 환경
최소: Intel 1.6Ghz
권장: Intel 2.66Ghz
최소: Windows 7 SP1
권장: Windows 8 이상
최소: 1GB 이상의 메모리
권장: 2GB 이상의 메모리
최소: Internet Explorer 8
권장: Internet Explorer 11
최소: 2GB 이상의 여유공간
권장: 10GB 이상의 여유공간
27
6. 레퍼런스
28
유료 주요 고객사
• 롯데건설
• 국회도서관
• 경희의료원
• LIS
• ㈜효석
• 셀렙(CELLAB)
• 한발매스테크㈜
• 주식회사 유니웰
• ㈜씽크윈텍
• (유)신한회계법인
• 우림건축사사무소
• 네오종합건축사사무소
• 한신건축구조연구소
• ㈜두우엔지니어링
• 삼신엔지니어링
• 성창건설㈜
• 한덕건설
• 서평환경건설
• 성진씨앤티㈜
• 동부우레탄
• 파라다이스호텔 부산
• 배상면주가
• ㈜테크윙
• ㈜네프코
• 대성엘텍
• ㈜대아
• ㈜삼진금형
• ㈜트러스
• ㈜컨버시스
• ㈜로텍
• ㈜테크윙
CARB 엔진 동작 확인용 테스트 파일 탐지/차단 동영상
7. 참고자료
29
https://www.checkmal.com/page/resource/video/https://www.checkmal.com/download/appcheck_test.zip
