멀웨어 방지 작동 방식
멀웨어 방지 기능은 두 가지 방식으로 작동합니다:
- 파일 내의 악성 코드 줄을 탐지합니다.
- 파일이 실행되지 않도록 격리하거나 다른 방법으로 차단해야 합니다.
안티 멀웨어가 의심스럽거나 위험한 파일을 탐지하는 구체적인 방법은 몇 가지 다른 형태를 취할 수 있으며, 정적 분석과 동적 분석이라는 두 가지 잠재적 접근 경로가 있습니다.
정적 감지
정적 멀웨어 분석은 알려진 파일 기반 멀웨어와의 싸움에서 매우 중요한 기술입니다. 멀웨어 파일의 고유한 특징을 수동으로 분석하는 데 중점을 둡니다. 적절한 심층 분석을 위해 보안 실무자는 일반적으로 각 멀웨어 제품군에서 가져온 여러 개의 사본에 의존합니다:
파일 크기, 가져오고 내보낸 함수, 해시, 인쇄 가능한 문자열과 같은 측면이 모두 이 정적 분석에 포함되므로 멀웨어의 동작을 파악한 다음 공유 가능한 서명으로 대조할 수 있습니다.
서명 형식
분석가가 멀웨어 제품군에 대한 설명을 작성하고 호환되는 도구와 공유할 수 있게 해주는 YARA와 같은 서명 형식은 이 프로세스에서 필수적인 역할을 합니다. 각 YARA 규칙은 문자열과 부울 표현식의 집합으로 구성되어 있어 더 넓은 컨텍스트에 관계없이 코드의 특성을 정확하게 감지할 수 있습니다.
이렇게 하면 한 회사만 감염시킨 멀웨어를 분석하여 전체 산업의 방어 체계에 적용할 수 있습니다.
시그니처 기반 탐지의 효과는 분석된 멀웨어 샘플의 수에 따라 크게 달라집니다. 분석가가 제한된 샘플 세트만 가지고 있거나 심지어 단 하나의 샘플만 가지고 있는 경우, 결과 시그니처의 효과는 떨어지고 오탐에 훨씬 더 취약합니다.
또한 대용량 파일을 빠르게 스캔하려면 더 많은 리소스가 필요합니다. 파일 스캔을 크기에 따라 제한하면 성능이 향상될 수 있지만, 멀웨어작성자가 탐지를 피하기 위해 불필요한 코드로 파일을 부풀려서 이를 악용할 수 있다는새로운 취약점이 발견되기도 합니다.
동적 분석
파일 서명 스캔의 정적 분석에 대한 대안으로 휴리스틱을 사용할 수 있습니다. 이 새로운 접근 방식은 원시 코드에서 추측하는 것이 아니라 파일의 실시간 동작을 분석하는 데 중점을 둡니다. 이는 부분적으로 다음과 같은 지능형 위협 기법에 대한 대응입니다:
- 코드 난독화
- 부분적으로 새로운 멀웨어 변종에 대한 표적 방어
휴리스틱은 사용자 및 엔터티 행동 분석(UEBA)의 핵심으로, 더 넓은 조직에 적용할 경우 UEBA는 알고리즘에 의존하여 사용자, 라우터, 엔드포인트 및 서버의 행동을 연구합니다.
동적 휴리스틱 분석 및 UEBA
하지만 UEBA 이전에는 동적 휴리스틱 분석이 샌드박스에 의존했습니다. 의심스러운 파일의 사본이 실행되는 곳은 런타임 환경의 이 격리되고 차단된 섹션입니다.
그런 다음 활동을 추적합니다. 파일이 시스템 로그를 뒤지기 시작하거나 알 수 없는 서버에 연결을 시도하거나 기타 잘못된 동작을 하면 멀웨어 방지 프로그램이 악성 파일로 태그를 지정하고 종료한 후 회사 디바이스로 다운로드하지 못하도록 차단합니다.
그러나 사이버 보안의 끝없는 고양이와 쥐의 싸움에서 일부 공격자들은 악성 파일을 먼저 검사할 수 있다는 사실을 알아냈습니다. 샌드박스에 있는지 여부를 확인하여 완전히 비어 있거나 새로 생성된 환경을 감지하면 실행을 거부하는 지능형 멀웨어 변종이 점점 더 많아지고 있습니다.
이것은 가장 진보된 형태의 안티 멀웨어로 이어집니다: UEBA.
피드백