Notice
Recent Posts
Recent Comments
Link
- lumenFC 축구 동호회
- 마샤블
- 웍스프레소
- 소셜@나눔<소셜미디어나눔연구소>
- 리버스코어
- LAIN
- LAIN 이사한 블로그
- TeamCR@K
- Sunnyday
- 보안 걱정이
- 리버싱 학습
- securityfirst_jo
- Practical Security Blog
- 세상, 그 유쾌한 전장
- 악성코드관련블로그
- Back to the Mac
- 패킷분석입문
- PacketInside / 네트워크 패킷 분석 블로그
- 침해사고분석 :: 네이버 블로그
- 소프트웨어 기술자경력관리시스템
- JK.Moon
- 자바 온라인학습
- Ezbeat의 도서관
- Dreams of a Final Journey
- IT eBooks - Free Download - Bi…
- Index of /madchat/coding/rever…
- Security Insight
- Reversing war game
- 고길고기
- clamav
- zerowine
- FORENSIC-PROOOF
- jquery 예제
- 조대협의블로그
- 국가과학기술인력개발원 교육포털 사이트
- 빅데이터, splunk
- 지식을 연주하는 사람
- malware analysis system
- 건국대토익스피킹
- 소프트웨어개발 및 협업도구
kisoo
좀비PC 탐지 및 차단, 치료 솔루션 어떻게 구성 할 것인가 본문
최근 좀비 PC 탐지 및 차단, 치료에 대한 솔루션이 봇물처럼 나올 수 있는 상황이 되었습니다. 이에 대해서는 DDOS 장비가 봇물처럼 쏟아졌던 2009년 과 유사한 상황으로 전개가 될 것 같은 느낌입니다. 아마도.... 좀 더 많은 업체가 이에 가세 할 듯 보이기도 합니다. 돈인 된다하고, 정부 ㅈ벙책이 어떤다,,, 하면 뛰어 드는 것이 이바닥 생리 입니다.
앞선 개발 업체들이 이를 지켜낼지,,, 상황을 보고 적기에 뛰어든 유력 업체가 이 시장을 선도 할지,,, DDOS 장비를 예로 보면 짐작이 갑니다.
우선 물리적인 구성 방식상으도 2가지 계열로 나눌 수 있습니다.
1. 네트워크 단에서 미러링으로 수집하는 방법
- 최종 인터넷 회선에서만 미러링 하는 방법
- 각 세그먼트별로 센서를 위치 하고 미러링 하는 방법
2. Agent 방식
- Agent 를 통한 검출을 수행 합니다. 계열상으로는 여러 계열이 있을 수 있습니다
** 두가지를 혼합한 하이브리드 방식이 있을 수 있겠습니다.
검출 방식상은 여러가지 기반으로 나뉠 수 있을 듯 합니다.
1. 시그니쳐 방식
- 시그니쳐를 통해 검출 하는 방식입니다. ( 한계가 분명 있겠지요 )
2. 네트워크 행위기반 방식
- 네트워크에서 동작하는 행위 기반을 통해 의심스런 놈들을 검출 하는 방법 입니다. ( 한계가 있습니다 )
3. PC행위기반
- PC의 네트워크 기반 행위와 그 행위를 일으키는 패킷을 분석해서 검출 하는 방법입니다. ( 좀더 정확합니다 )
4. 허니넷 방식
- 가상 OS 에 직접 실행파일, 브리우징 가능한 파일등을 직접 실행시키고 결과를 분석 하는 방식으로 보두 돌려 볼 수 만 있다면,,,,, 네트워크단에서 그런대로 좋은 결과를 얻을 수 있는 방법 입니다.
5. 바이러스 엔진방식
- 백신, 악성코드 검출 엔진 다수를 통해 검출해 내는 방법으로 시그니쳐 방식과 유사하기는 하나, 각각 엔진의 특성과 DB가 다양하다는데 확률적인 검출 의의를 얻을 수 있는 방법입니다.
치료, 와 차단은 네트워크 방식으로는 한계가 있고, 하이브리드 방식 또는 Agent 방식일 경우만 치료 및 차단이 가능 합니다. 네트워크 방식으로 차단하는 경우도 있으나, 이는 차단이 가능하도록 연동 할 수 있는 또 다른 네트워크 구성이 이미 구비 되어 있을 경우만 가능합니다. 차단의 경우 역시 Port 레벨의 차단이냐 ip레벨의 차단이냐 가 차이점이 될 수도 있습니다.
이제 각 기관(회사)는 어떤 구성으로 좀비 PC를 찾아내서 , 어떤방법으로 이PC 또는 좀비 Packet을 응징 할 지를 생각해 봐야 합니다.
네트워크 방식 : 100% 는 아니지만, 일상적인 행동을 하는 사용자가 모르는 상황에서 유통시키는 좀비 코드를 검출해 냅니다. 이미 배포된 좀비 코드를 통한 공격은 또 다른 문제입니다.
Agent 방식 : 네트워크 방식 보다는 좀 더 검출율이 높을 수 있습니다 만 Agent 가 설치 되고 잘 동작 한다는 전제조건이 붙으므로, 이 마저도 100 % 는 아닙니다. 하지만 이미 배포된 좀비코드에 의한 공격등에 대해서, 이를 차단하고, 치료할 수 있는 길이 있다는 장점이 있습니다.
자,,, 간편하게 네트워크형으로 갈것인지, 아니면 Agent 형으로 갈것인지, 담당자 와 기관(회사)의 성격, 이루고자하는 목표(네트워크보호, 좀비색출, 코드수집, 차단, 일부허용,,,,)에 따라 다릅니다.
그저 면피용으로 쓸 목적이라면, 미러링으로 WAN 단에 하나 붙여 놓으면 됩니다.
어떤 것을 선택 할 것인가가, 이제 관심사 인데요
정보가 중요하고 폐쇠적이고, 내부에서 공격을 할 가능성은 별로 없으나, 공격은 해킹 공격이 될 가능성이 높고, PC에 대한 통제권이 확실한 곳,,,, 이라면 Agent 방식을 기본으로 설치하고, 이기종의 네트워크 방식을 네트워크에 물려 놓는 것이 가장 적절해 보입니다.
정보가 덜중요하고, 사용자가 많고, 불특정 다수일경우,,, 라면 네트워크형을 기본으로 채택하고,,, 내부관리 PC에 대해서는 Agent 를 추가로 고려 하는것이 적절해 보입니다.
게임방 등 전부 불특정 다수이나 한정되어 있고, 네트워크 환경이 작은 대역일 경우는 Agent 방식이 적절해 보입니다.
이 모든것은 비용과 관리자가 어떤 생각을 가지고 정책을 정하느냐, 지원인력이 얼마나 있느냐 등 고려해야할 상황들이 있습니다.
답은 없습니다.
앞선 개발 업체들이 이를 지켜낼지,,, 상황을 보고 적기에 뛰어든 유력 업체가 이 시장을 선도 할지,,, DDOS 장비를 예로 보면 짐작이 갑니다.
우선 물리적인 구성 방식상으도 2가지 계열로 나눌 수 있습니다.
1. 네트워크 단에서 미러링으로 수집하는 방법
- 최종 인터넷 회선에서만 미러링 하는 방법
- 각 세그먼트별로 센서를 위치 하고 미러링 하는 방법
2. Agent 방식
- Agent 를 통한 검출을 수행 합니다. 계열상으로는 여러 계열이 있을 수 있습니다
** 두가지를 혼합한 하이브리드 방식이 있을 수 있겠습니다.
검출 방식상은 여러가지 기반으로 나뉠 수 있을 듯 합니다.
1. 시그니쳐 방식
- 시그니쳐를 통해 검출 하는 방식입니다. ( 한계가 분명 있겠지요 )
2. 네트워크 행위기반 방식
- 네트워크에서 동작하는 행위 기반을 통해 의심스런 놈들을 검출 하는 방법 입니다. ( 한계가 있습니다 )
3. PC행위기반
- PC의 네트워크 기반 행위와 그 행위를 일으키는 패킷을 분석해서 검출 하는 방법입니다. ( 좀더 정확합니다 )
4. 허니넷 방식
- 가상 OS 에 직접 실행파일, 브리우징 가능한 파일등을 직접 실행시키고 결과를 분석 하는 방식으로 보두 돌려 볼 수 만 있다면,,,,, 네트워크단에서 그런대로 좋은 결과를 얻을 수 있는 방법 입니다.
5. 바이러스 엔진방식
- 백신, 악성코드 검출 엔진 다수를 통해 검출해 내는 방법으로 시그니쳐 방식과 유사하기는 하나, 각각 엔진의 특성과 DB가 다양하다는데 확률적인 검출 의의를 얻을 수 있는 방법입니다.
치료, 와 차단은 네트워크 방식으로는 한계가 있고, 하이브리드 방식 또는 Agent 방식일 경우만 치료 및 차단이 가능 합니다. 네트워크 방식으로 차단하는 경우도 있으나, 이는 차단이 가능하도록 연동 할 수 있는 또 다른 네트워크 구성이 이미 구비 되어 있을 경우만 가능합니다. 차단의 경우 역시 Port 레벨의 차단이냐 ip레벨의 차단이냐 가 차이점이 될 수도 있습니다.
이제 각 기관(회사)는 어떤 구성으로 좀비 PC를 찾아내서 , 어떤방법으로 이PC 또는 좀비 Packet을 응징 할 지를 생각해 봐야 합니다.
네트워크 방식 : 100% 는 아니지만, 일상적인 행동을 하는 사용자가 모르는 상황에서 유통시키는 좀비 코드를 검출해 냅니다. 이미 배포된 좀비 코드를 통한 공격은 또 다른 문제입니다.
Agent 방식 : 네트워크 방식 보다는 좀 더 검출율이 높을 수 있습니다 만 Agent 가 설치 되고 잘 동작 한다는 전제조건이 붙으므로, 이 마저도 100 % 는 아닙니다. 하지만 이미 배포된 좀비코드에 의한 공격등에 대해서, 이를 차단하고, 치료할 수 있는 길이 있다는 장점이 있습니다.
자,,, 간편하게 네트워크형으로 갈것인지, 아니면 Agent 형으로 갈것인지, 담당자 와 기관(회사)의 성격, 이루고자하는 목표(네트워크보호, 좀비색출, 코드수집, 차단, 일부허용,,,,)에 따라 다릅니다.
그저 면피용으로 쓸 목적이라면, 미러링으로 WAN 단에 하나 붙여 놓으면 됩니다.
어떤 것을 선택 할 것인가가, 이제 관심사 인데요
정보가 중요하고 폐쇠적이고, 내부에서 공격을 할 가능성은 별로 없으나, 공격은 해킹 공격이 될 가능성이 높고, PC에 대한 통제권이 확실한 곳,,,, 이라면 Agent 방식을 기본으로 설치하고, 이기종의 네트워크 방식을 네트워크에 물려 놓는 것이 가장 적절해 보입니다.
정보가 덜중요하고, 사용자가 많고, 불특정 다수일경우,,, 라면 네트워크형을 기본으로 채택하고,,, 내부관리 PC에 대해서는 Agent 를 추가로 고려 하는것이 적절해 보입니다.
게임방 등 전부 불특정 다수이나 한정되어 있고, 네트워크 환경이 작은 대역일 경우는 Agent 방식이 적절해 보입니다.
이 모든것은 비용과 관리자가 어떤 생각을 가지고 정책을 정하느냐, 지원인력이 얼마나 있느냐 등 고려해야할 상황들이 있습니다.
답은 없습니다.
Comments