위협 탐지

Genian Insights E는 위협의 종류에 따라 다양한 탐지 모듈을 이용하여 위협을 탐지, 대응합니다.

File 기반의 위협 은 크게 악성코드 로 분류되며, 악성코드는 알려진 위협알려지지 않은 위협 으로 세분화 할 수 있습니다.
File-less 기반의 위협이상행위 로 분류되며, 행위기반 이상탐지 엔진에 의해 탐지됩니다.
_images/threat.png

이 장에서는 다양한 탐지 모듈의 탐지 방법에 대해 설명합니다.

악성코드 탐지

IOC(Indicator Of Compromise, 침해지표)는 전 세계에서 발생 및 기록되는 침해사고의 흔적들을 수집하고 이 정보들을 별도의 DB로 관리하고 있으며,
Insights 정책서버는 외부의 IOC DB 서버와 주기적으로 통신하여 최신 위협 정보를 업데이트 하고 있습니다.
폐쇄망 환경에서는 정책서버에 월 단위의 IOC DB를 직접 업데이트 할 수 있습니다.
엔드포인트에서 파일, 프로세스에 대한 이벤트가 발생하면 정책서버의 위협탐지(Threat Detector)엔진이 IOC DB에 해당 파일의 Hash값이 등록되어 있는 지 확인합니다.
파일정보가 등록되어 있는 경우, 해당 파일은 알려진 위협 으로 분류되며, IOC에 등록된 신뢰도,위험도,악성코드의 종류 정보를 확인할 수 있습니다.

IOC DB에 파일 정보가 등록되어 있지 않다면, 머신러닝 정보를 확인합니다.

머신러닝 탐지

엔드포인트에서 수집되는 정보 중 파일의 종류가 실행 파일(PE)인 경우, 해당 파일의 특징(Feature)을 추출합니다.
이 특징(Feature) 정보는 머신러닝에 의한 악성코드 탐지에 사용됩니다.
머신 러닝에 의해서도 탐지되지 않는 경우, Reversing Labs, VirusTotal 등의 외부 인텔리전스(CTI:Cyber Threat Intelligence Service)에 등록된 파일인 지 한번 더 조회하는 절차를 수행합니다.

해당 파일이 조회가 된다면 알려진 위협 으로 분류되며, 정보가 없다면 알려지지 않은 위협 으로 분류됩니다.

알려진 위협과 알려지지 않은 위협은 관리자가 미리 설정한 정책(대응 방법)에 따라 에이전트에서 알람, 프로세스 강제 종료, 파일 삭제를 수행합니다.

이상행위 탐지

File-less 기반의 위협은 이상행위 로 분류되며, 이상행위 탐지(XBA:X Behavior Analysis) 엔진에 의해 탐지합니다.
행위기반 이상탐지 엔진은 미리 정의한 이상행위 정책을 가지고 있으며, 엔드포인트에서 이상행위 감지 시 즉시 탐지 및 대응이 가능합니다.

탐지가 가능한 항목은 아래와 같습니다.

탐지 행위(9가지 대 항목) 설명
정책/권한 우회 시스템 설정 파일 및 계정의 임의 조작 등
의심스러운 프로세스 행위 일반적이지 않은 파일, 프로세스 이름 또는 경로를 통한 프로세스의 실행 등
시스템 명령어 오용 powershell, WMI 등 주로 관리목적의 시스템명령어의 일반적이지 않은 사용 등
알려진 위협 탐지 RAT(백도어) 등 특정 공격 및 위협에 사용한다고 알려진 파일, 프로세스, 레지스트리 값, 접속 등의 행위 등
권한탈취 또는 오용 사용자 권한 (UAC : User Account Control) 정책 우회(bypass)를 통한 불법 권한 획득 등
자기삭제 이상 행위 주체(파일, 프로세스 등) 및 로그(log)등의 변경 또는 삭제 등
자동 재 실행 윈도우 시작폴더 또는 레지스트리의 이상 값 등록 행위 등
횡적확산(Lateral Movement) 포트스캐팅 등을 통한 타 시스템으로의 감염 확산 시도 등
의심스러운 오피스 행위 word 등 오피스 애플리케이션에 의한 매크로, 스크립트 등의 동반 실행 등

YARA Rule 탐지

YARA는 문자열이나 바이너리 패턴(Hex string)을 기반으로 악성코드를 검색, 분류할 수 있게 해주는 도구로,
문자열과 바이너리 패턴만을 이용해서 파일의 시그니처를 찾는 것뿐만 아니라 특정 Entry Point 값을 지정하거나,File Offset, Virtual Memory Address를 제시하고
정규 표현식을 이용하여 효율적인 패턴 매칭이 가능합니다.
Genian Insights E는 관리자가 직접 작성한 YARA Rule을 통해 빠르고 효율적으로 엔드포인트의 위협을 탐지할 수 있습니다.