KR102189361B1 - 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법 - Google Patents

엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법 Download PDF

Info

Publication number
KR102189361B1
KR102189361B1 KR1020190157971A KR20190157971A KR102189361B1 KR 102189361 B1 KR102189361 B1 KR 102189361B1 KR 1020190157971 A KR1020190157971 A KR 1020190157971A KR 20190157971 A KR20190157971 A KR 20190157971A KR 102189361 B1 KR102189361 B1 KR 102189361B1
Authority
KR
South Korea
Prior art keywords
malware
ioc
analysis
endpoint
generated
Prior art date
Application number
KR1020190157971A
Other languages
English (en)
Inventor
권영목
이찬영
Original Assignee
주식회사 파고네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파고네트웍스 filed Critical 주식회사 파고네트웍스
Priority to KR1020190157971A priority Critical patent/KR102189361B1/ko
Priority to PCT/KR2020/017010 priority patent/WO2021112494A1/ko
Priority to US17/778,877 priority patent/US20220417255A1/en
Application granted granted Critical
Publication of KR102189361B1 publication Critical patent/KR102189361B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

엔드포인트에 기반한 관리형 탐지 및 대응 시스템이 개시된다. 상기 시스템은 각각이 머신러닝 알고리즘을 통해 멀웨어를 탐지 및 차단하기 위한 엔드포인트 에이전트가 설치되거나 설치되지 않은 복수의 엔드포인트들과 각각이 소정의 보안 정책을 상기 복수의 엔드포인트들에게 적용하기 위한 복수의 네트워크 보안 솔루션들을 포함하는 기업 네트워크와 상기 복수의 엔드포인트들 중 어느 하나에서 탐지 및 차단된 멀웨어를 분석하여 IOC를 생성하고, 상기 생성한 IOC에 따라 상기 보안 정책을 수립하여 상기 복수의 네트워크 보안 솔루션들 중 해당하는 네트워크 보안 솔루션에 연동하는 위협 분석 서버 및 상기 기업 네트워크와 상기 위협 분석 서버를 연결하는 클라우드 서버를 포함한다.

Description

엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법{MANAGED DETECTION AND RESPONSE SYSTEM AND METHOD BASED ON ENDPOINT}
본 발명의 개념에 따른 실시 예는 MDR(Managed Detection and Response) 기술에 대한 것으로, 보다 상세하게는 엔드포인트(Endpoint)에서 탐지된 멀웨어로부터 IOC(Indicator Of Compromise)를 생성하고 생성한 IOC를 기업 네트워크의 보안 장비들에 연동함으로써 기업 네트워크의 보안정책을 자동 수립할 수 있는 MDR 기술에 관한 것이다.
일반적으로 안티바이러스(Anti-Virus, AV)는 기업이나 개인의 컴퓨터, 서버, 네트워크를 보호하는 솔루션으로, 이들에 존재하는 바이러스 등 멀웨어(Malware)를 찾아내고 치료 및 방어를 하는 소프트웨어를 의미한다. 이러한 안티바이러스 솔루션에서 가장 흔하게 사용되는 방법은 멀웨어의 특징을 담은 시그니처(Signature)를 생성해 이를 기준으로 멀웨어 여부를 판단하는 방식과 특정 코드의 행위 방식이 이미 알려진 악성코드의 행위방식과 얼마나 유사한지 분석하여 멀웨어 여부를 판단하는 방식이 있다. 시그니처에 기반한 안티바이러스는 일단 최초 감염자가 발생할 수밖에 없는 치명적인 단점이 있으며, 제로데이 공격(Zero Day Attack)이나 랜섬웨어(Ransomware)처럼 전례가 없는 새로운 위협 및 파일리스(Fileless) 악성코드에 매우 취약한 문제가 있고, 행위기반의 안티바이러스는 오탐지의 가능성이 매우 큰 치명적인 문제와 시스템 자원 역시 많이 소비하는 문제가 있었다. 이러한 문제 때문에, 최근의 안티바이러스 솔루션은 시그니처 기반 또는 행위 기반의 솔루션에서 EDR(Endpoint Detection and Response) 솔루션으로 진화하고 있는 추세이다. EDR은 최근 국내외 보안업계에서 주목받는 개념으로, 엔드포인트(Endpoint) 영역에서 진화된 공격 양상을 보이는 악성코드와 지능형지속위협(APT)을 지속적으로 모니터링하고 실질적인 대응을 제공하는 것에 목적이 있다. 2018년 가트너 보고서(Gartner Research)에 따르면, EDR은 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션으로 정의되며, 보안사고탐지(detect security incident), 엔드포인트에서의 보안 사고 통제(contain the incident at the endpoint), 보안 사고 조사(investigate security incident) 및 감염 전 상태로 회복(remediate endpoint to a preinfection state)의 4가지 기능을 제공해야 한다. 그러나 종래의 안티바이러스 솔루션과 마찬가지로 현재 논의되고 있는 EDR 역시, 멀웨어를 탐지 및 차단하며 감염시에는 치료나 피해 복원에 그치고 있을 뿐이다.
한국등록특허 제10-1907037호
본 발명이 해결하고자 하는 기술적인 과제는 엔드포인트에서 탐지된 멀웨어로부터 IOC를 자동 생성하고 생성한 IOC를 기업 네트워크의 보안장비들에 연동함으로써 기업 네트워크의 보안정책을 자동 수립할 수 있는 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법을 제공하는 것이다.
본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 시스템은 각각이 머신러닝 알고리즘을 통해 멀웨어를 탐지 및 차단하기 위한 엔드포인트 에이전트가 설치되거나 설치되지 않은 복수의 엔드포인트들과 각각이 소정의 보안 정책을 상기 복수의 엔드포인트들에게 적용하기 위한 복수의 네트워크 보안 솔루션들을 포함하는 기업 네트워크와 상기 복수의 엔드포인트들 중 어느 하나에서 탐지 및 차단된 멀웨어를 분석하여 IOC를 생성하고, 상기 생성한 IOC에 따라 상기 보안 정책을 수립하여 상기 복수의 네트워크 보안 솔루션들 중 해당하는 네트워크 보안 솔루션에 연동하는 위협 분석 서버 및 상기 기업 네트워크와 상기 위협 분석 서버를 연결하는 클라우드 서버를 포함한다.
상기 위협 분석 서버는 상기 복수의 엔드포인트들 중 어느 하나에서 탐지 및 차단된 멀웨어에 대해 정적 분석 및 동적 분석을 수행하는 멀웨어 분석모듈과 상기 멀웨어 분석모듈에서 분석된 결과에 따라 상기 IOC를 생성하여 상기 보안 정책을 수립하고, 상기 복수의 네트워크 보안 솔루션들 중 해당하는 네트워크 보안 솔루션에 상기 수립한 보안 정책을 연동하는 IOC 모듈 및 상기 멀웨어 분석모듈에서 분석된 결과를 상기 복수의 엔드포인트들 중 매니지먼트 콘솔이 설치된 엔드포인트에 리포팅하는 리포팅 모듈을 포함할 수 있다.
이때, 상기 멀웨어 분석모듈은 상기 엔드포인트로부터 탐지 및 차단된 멀웨어에 대한 메타 데이터를 수신하고, 상기 수신한 메타 데이터에 상응하는 멀웨어를 상기 클라우드 서버의 멀웨어 데이터 베이스로부터 다운로드 하는 멀웨어 수신부와 상기 다운로드한 멀웨어를 역코딩하여 메타 데이터 분석, API 분석, PE 구조 분석 중 적어도 어느 하나를 수행함으로써 상기 정적 분석을 수행하는 정적 분석부 및 상기 다운로드한 멀웨어를 가상 머신 또는 베어 메탈 시스템을 통해 실행시켜 분석함으로써 상기 동적 분석을 수행하는 동적 분석부를 포함할 수 있다.
또한, 상기 멀웨어 분석모듈은 상기 정적 분석 결과 및 상기 동적 분석 결과를 통해 상기 엔드포인트 에이전트로부터 탐지 및 차단된 멀웨어의 오탐을 방지할 수 있다.
실시 예에 따라, 상기 IOC 모듈은 상기 멀웨어 분석모듈의 정적 분석 및 동적 분석된 결과에 따라 목적지 IP, URL, 포트, 프로토콜, HKLM 레지스트리 변경 값, 차일드 프로세스명 중 적어도 어느 하나를 필드값으로 포함하여 상기 IOC를 생성하는 IOC 생성부 및 상기 IOC 생성부로부터 생성된 IOC에 따라 상기 복수의 네트워크 보안 솔루션들 중 해당 네트워크 보안 솔루션에 적용할 상기 보안 정책을 수립하여 상기 해당 네트워크 보안 솔루션에 연동하는 IOC 연동부를 포함할 수 있다.
이때, 상기 IOC 생성부는 상기 멀웨어 분석모듈의 정적 분석 및 동적 분석 결과에 따라 상기 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 상기 목적지 IP, URL, 포트 및 프로토콜 중 적어도 어느 하나를 필드값으로 하여 상기 IOC를 생성하고, 상기 멀웨어가 HKLM 레지스트리값을 변경하는 멀웨어로 분석되면 상기 HKLM 레지스트리 변경 값을 필드값으로 하여 상기 IOC를 생성하며, 상기 멀웨어가 차일드 프로세스를 생성하는 멀웨어로 분석되면 생성되는 상기 차일드 프로세스명을 필드값으로 하여 상기 IOC를 생성하는 것을 특징으로 한다.
또한, 상기 IOC 모듈은 상기 생성된 IOC의 필드값에 상기 목적지 IP나 URL이 포함되어 있는 경우에, 외부 평판도 비교 사이트 조회를 통해 특정 보안 사항과 상기 목적지 IP나 URL의 연계 유무를 확인하는 IOC 검증부를 더 포함할 수도 있다.
그리고 상기 IOC 연동부는 상기 생성된 IOC의 필드값에 상기 목적지 IP나 URL이 포함되어 있는 경우에 상기 복수의 네트워크 보안솔루션들 중 방화벽에 적용할 상기 보안 정책을 수립하여 연동하고, 상기 생성된 IOC의 필드값에 상기 HKLM 레지스트리 변경 값이 포함되어 있는 경우에 상기 복수의 네트워크 보안 솔루션들 중 NAC에 적용할 상기 보안 정책을 수립하여 연동하는 것을 특징으로 할 수 있다.
본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 방법은 기업 네트워크 상의 복수의 엔드포인트들 중 엔드포인트 에이전트가 설치된 엔드포인트에서 멀웨어를 탐지 및 차단하는 단계와 상기 엔드포인트 에이전트가 상기 탐지 및 차단한 멀웨어에 대한 메타 데이터를 생성하여 클라우드 서버를 통해 위협분석 서버의 멀웨어 분석모듈로 전송하는 단계와 상기 멀웨어 분석모듈이 상기 전송된 메타 데이터에 상응하는 멀웨어를 상기 클라우드 서버의 멀웨어 데이터베이스로부터 다운로드 하는 단계와 상기 멀웨어 분석모듈이 상기 다운로드한 멀웨어 대하여 메타 정보 분석, API 분석, PE 구조 분석 중 적어도 어느 하나를 통해 정적 분석을 수행하는 단계와 상기 멀웨어 분석모듈이 가상머신 또는 베어 메탈 시스템을 통해 상기 다운로드 한 멀웨어를 실행하여 동적 분석을 수행하는 단계와 상기 위협분석 서버의 IOC 모듈이 상기 멀웨어 분석 모듈에서 분석된 정적 분석 결과와 동적 분석 결과에 따라 상기 멀웨어에 대한 IOC를 생성하는 단계; 및 상기 IOC 모듈이 상기 생성한 IOC에 따라 상기 기업 네트워크의 네트워크 보안솔루션에 적용할 보안정책을 수립하여 연동함으로써 상기 엔드포인트 에이전트가 설치되지 않은 엔드포인트들을 보호하는 단계를 포함한다.
실시 예에 따라, 상기 IOC모듈이 상기 IOC를 생성하는 단계는 상기 멀웨어 분석모듈을 통해 상기 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 목적지 IP, URL, 포트, 프로토콜 중 적어도 어느 하나를 필드값으로 하여 상기 IOC를 생성하고, 상기 멀웨어가 HKLM 레지스트리 값을 변경하는 멀웨어로 분석되면 HKLM 레지스트리 변경 값을 필드값으로 하여 상기 IOC를 생성하며, 상기 멀웨어가 차일드 프로세스를 생성하는 멀웨어로 분석되면 생성되는 차일드 프로세스명을 필드값으로 하여 상기 IOC를 생성하는 것을 특징으로 할 수 있다.
실시 예에 따라, 상기 IOC 모듈이 상기 엔드포인트가 설치되지 않은 엔드포인트들을 보호하는 단계는 상기 생성된 IOC의 필드값에 목적지 IP, URL, 포트, 프로토콜이 포함되어 있으면 상기 목적지 IP, URL의 접속을 차단하는 정책을 상기 네트워크 보안솔루션들 중 방화벽에 대한 보안 정책으로서 연동하고, 상기 생성된 IOC의 필드값에 레지스트리 변경값이 포함되어 있으면 상기 특정 레지스트리의 변경을 차단하는 정책을 상기 네트워크 보안 솔루션들 중 NAC에 대한 보안 정책으로서 연동하는 것을 특징으로 할 수 있다.
실시 예에 따라, 본 발명의 엔드포인트에 기반한 관리형 탐지 및 대응 방법은 상기 수신한 메타데이터에 상응하는 멀웨어가 상기 멀웨어 데이터베이스에 존재하지 않는 경우에, 상기 멀웨어 분석모듈이 상기 엔드포인트 에이전트로부터 상기 탐지 및 차단된 멀웨어를 직접 수신하는 단계를 더 포함할 수 있다.
상기와 같이 본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법은 엔드포인트에서 탐지된 멀웨어를 분석하여 IOC를 자동으로 생성할 수 있고, 생성한 IOC를 기업의 네트워크 보안 장비들에 연동함으로써 기업 네트워크의 보안정책을 자동으로 수립할 수 있는 효과가 있다.
즉, 엔드포인트에서 탐지된 멀웨어로부터 네트워크 전체의 보안 정책을 수립할 수 있는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위한 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 시스템의 구성을 나타내는 블럭도이다.
도 2는 도 1에 도시된 위협분석 서버의 내부 구성을 나타내는 블럭도이다.
도 3은 본 발명의 일 실시 예에 따른 멀웨어 분석모듈의 내부 구성을 나타내는 블럭도이다.
도 4는 본 발명의 일 실시 예에 따른 IOC 모듈의 내부 구성을 나타내는 블럭도이다.
도 5는 본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 방법을 설명하기 위한 순서도이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1구성요소는 제2구성요소로 명명될 수 있고, 유사하게 제2구성요소는 제1구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 명세서에서, "포함한다" 또는 "갖는다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 포함하는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 시스템(이하, 'MDR 시스템'이라 함, 10)의 구성을 나타내는 블럭도이다.
도 1을 참조하면, MDR 시스템(10)은 기업 네트워크(100), 클라우드 서버(200) 및 위협 분석 서버(300)를 포함한다.
기업 네트워크(100)는 PC나 노트북, 각종 서버와 같은 엔드포인트들(130-1 ~ 130-n)과 방화벽(Firewall), NAC(Network Access Control), IDS/IPS(Intrusion Detection System/Intrusion Prevention System)와 같은 네트워크 보안솔루션(170)으로 구성된다.
엔드포인트들(130-1 ~ 130-n)에는 엔드포인트 에이전트(EPP/EDR)가 설치될 수 있으며, 실시 예에 따라 엔드포인트들(130-1 ~ 130-n) 모두에 설치될 수도 있고, 이들 중 일부분(예컨대,130-1 ~ 130-4)에 대해서만 엔드포인트 에이전트(EPP/EDR)가 설치될 수도 있다.
기업 네트워크(100)의 모든 엔드포인트들(130-1 ~ 130-n)에 엔드포인트 에이전트(EPP/EDR)가 설치되는 것이 바람직하겠지만, 기업 경영상의 비용 문제에 따라 일부 엔드포인트들(예컨대,130-1 ~ 130-4)에 대해서만 엔드포인트 에이전트(EPP/EDR)가 설치될 수 있으며, 본 발명의 일실시 예에 따른 MDR 시스템(10)은 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트들에 대해서도 네트워크 보안솔루션(170)의 보안 정책을 수립함으로써 보호할 수 있다.
한편, 엔드포인트 에이전트(EPP/EDR)는 엔드포인트(예컨대, 130-1 ~ 130-4)에 설치되어 멀웨어(malware)를 탐지 및 차단하는 역할을 수행하며, 탐지된 멀웨어에 대한 메타 데이터(Meta_Data)를 클라우드 서버(200)를 통해 위협분석 서버(300)로 전송할 수 있다.
실시 예에 따라, 엔드포인트 에이전트(EPP/EDR)는 예측 기반과 스코어링 기반의 머신러닝 알고리즘을 이용하여 멀웨어를 탐지하여 차단함으로써 알려지거나 알려지지 않은 멀웨어에 관계없이 엔드포인트(예컨대, 130-1 ~ 130-4)의 보호가 가능하다.
즉, 엔드포인트 에이전트(EPP/EDR)는 상기 소정의 머신러닝 알고리즘을 통해 악성 실행파일의 식별 및 차단, 스크립트 실행 위치 식별, 실행 방법 및 대상 제어, USB 장치 접속관리 및 디바이스 무단사용 제어, 보호되고 있는 엔드포인트에서 공격자가 파일리스 멀웨어 공격 기술을 사용하지 못하도록 제어할 수 있으며, 예컨대, 악의적인 이메일 첨부 파일이 사용자에 의해 다운로드 및 실행하지 못하도록 방지 가능하고, 제로데이 공격을 성공적으로 예측하고 예방할 수 있다.
또한, 엔드포인트 에이전트(EPP/EDR)는 스크립트(Script), 파일리스(Fileless)와 같은 메모리 및 외부 디바이스 기반 공격으로부터 엔드포인트(예컨대,130-1 ~ 130-4)의 보호가 가능하며, 클라우드 샌드박싱 기반에 의존하지 않으면서도 알려지지 않은 위협을 예방할 수 있다.
따라서, 엔드포인트 에이전트(EPP/EDR)는 머신러닝 알고리즘을 통한 스코어링을 수행하여 멀웨어를 탐지하기 때문에, 기존의 멀웨어를 탐지하기 위한 시그니처나 휴리스틱, 샌드박스 등이 필요치 않고 불필요한 시스템 리소스를 소비하지 않는다.
또한, 엔드포인트(예컨대, 130-1 ~ 130-4)에 이미 다른 종류의 엔드포인트 보안 솔루션이 설치되어 있어도 이들과의 충돌 문제가 발생하지 않는다.
한편, 엔드포인트 에이전트(EPP/EDR)는 엔드포인트로부터 탐지된 멀웨어에 대한 메타 데이터(Meta_Data)를 생성하고, 생성한 메타 데이터(Meta_Data)를 클라우드 서버(200)를 통해 위협분석 서버(300)로 전송한다.
이때, 상기의 메타 데이터(Meta_Data)는 멀웨어가 탐지된 엔드포인트에 대한 정보(예컨대, IP, OS 버전, MAC 주소 등), 호스트명, 엔드포인트 에이전트(EPP/EDR) 설치 날짜, 차단 파일명(멀웨어 파일명) 및 발견 경로(예컨대, 발견된 폴더명), 파일 대표 해쉬 값(hash value)을 포함할 수 있다.
또한, 엔드포인트 에이전트(EPP/EDR)가 설치된 여러 엔드포인트들(예컨대,130-1 ~ 130-4) 중 어느 하나(예컨대, 130-1)에는 매니지먼트 콘솔(MC)이 추가적으로 설치될 수 있으며, 기업 보안 담당자는 매니지먼트 콘솔(MC)을 통해 각 엔드포인트에서의 멀웨어 차단 현황이나 후술할 위협분석 서버(300)로부터의 멀웨어 분석 대응 보고서(멀웨어에 대한 정보나 보안 권고 사항 등)를 확인할 수 있다.
네트워크 보안솔루션(170)은 Firewall, IDS/IPS와 같이 외부 네트워크(예컨대, 인터넷)로부터의 트래픽 출입을 제어하는 외부 보안 솔루션들과 NAC와 같이 엔드포인트들의 외부 네트워크로의 접근을 제어하는 내부 보안 솔루션들을 포함할 수 있으며, 소정의 보안 정책에 따라 상기 두 네트워크 간에 전송되는 트래픽이나 접근 허용 여부를 제어할 수 있다.
한편, 클라우드 서버(200)는 공지의 퍼블릭 클라우드 서버(Public cloud Server)로 구현될 수 있으며, 실시 예에 따라 물리적 서버로 구현될 수도 있음은 물론이다.
과거에는 PC나 기업 내 물리적 서버에 각종 파일들을 저장했지만, 이제는 기업은 물론 개인도 클라우드 서비스로 데이터를 인터넷과 연결된 중앙 컴퓨터에서 저장해 언제 어디서든 이용할 수 있다.
실시 예에 따라, 클라우드 서버(200)는 개인정보 및 고객 데이터를 보호하고 네트워크 액세스를 제어할 목적으로 네트워크 방화벽과 웹 애플리케이션 방화벽(WAF) 서비스 등 다양한 보안 서비스를 제공할 수 있다.
도 2는 도 1에 도시된 위협분석 서버(300)의 내부 구성을 나타내는 블럭도이고, 도 3은 본 발명의 일 실시 예에 따른 멀웨어 분석모듈(310)의 내부 구성을 나타내는 블럭도이며, 도 4는 본 발명의 일 실시 예에 따른 IOC 모듈(350)의 내부 구성을 나타내는 블럭도이다.
도 1 내지 도 4를 참조하면, 위협분석 서버(300)는 기업의 SOC(Security Operation Center)를 대체하는 서비스를 제공할 수 있으며, 멀웨어 분석모듈(310), IOC 모듈(350) 및 리포팅 모듈(390)을 포함할 수 있다.
위협분석 서버(300)의 멀웨어 분석모듈(310)은 엔드포인트 에이전트(EPP/EDR)로부터 클라우드 서버(200)를 통해 전송된 멀웨어에 대한 메타데이터를 수신하고, 수신한 메타데이터에 상응하는 멀웨어를 클라우드 서버(200)의 멀웨어 데이터베이스(M-DB)로부터 다운로드하며, 다운로드 한 해당 멀웨어를 상세 분석하는 역할을 수행한다.
이때, 멀웨어 분석모듈(310)은 수신한 메타데이터에 상응하는 멀웨어를 다운로드하는 멀웨어 수신부(320)와 상기 다운로드한 멀웨어를 분석하기 위한 정적 분석부(330) 및 동적 분석부(340)를 포함한다.
우선, 멀웨어 수신부(320)는 엔드포인트 에이전트(EPP/EDR)로부터 탐지된 멀웨어에 대한 메타데이터를 수신하고, 수신한 메타데이터에 상응하는 멀웨어를 클라우드 서버(200)의 멀웨어 데이터베이스(M-DB)로부터 다운로드 한다.
실시 예에 따라, 멀웨어 수신부(320)는 상기 수신한 메타데이터에 상응하는 멀웨어가 클라우드 서버(200)의 멀웨어 데이터베이스(M-DB)에 존재하지 않는 경우, 상기 탐지된 멀웨어를 엔드포인트로부터 직접 수신할 수도 있다.
다음으로, 정적 분석부(330)는 상기 다운로드 한 멀웨어에 대해 리버스 엔지니어링(Reverse Engineering)을 통하여 역코딩함으로써 분석하고, 동적 분석부(340)는 가상머신(VM) 또는 미니 베어본 PC(Next Unit of Computing, NUC)와 같은 베어 메탈(Bare metal)을 통해 해당 멀웨어를 실행시켜 해당 멀웨어의 행위를 분석한다.
종래의 기술에서는 정적 분석 또는 동적 분석을 수행하여 멀웨어 여부 자체를 판별하였는데, 이때, 정적 분석은 시간 비용이 낮지만 변종 악성코드에 유연하지 못한 한계가 있었고, 동적 분석은 변종 악성코드에 유연하지만 시간 비용이 높은 한계가 있었다.
그러나 본 발명의 정적 분석부(330) 및 동적 분석부(340)는 정적 분석 및 동적 분석을 통해 멀웨어의 유무를 판별하는 것이 아니라, 이미 엔드포인트의 엔드포인트 에이전트(EPP/EDR)로부터 판별된 멀웨어에 대한 IOC를 생성하기 위해 분석을 수행하는 것으로 종래 기술의 한계점은 크게 문제가 되지 않는다.
보다 상세히 설명하면, 정적 분석부(330)는 분석대상인 상기 멀웨어, 즉, 상기 다운로드한 멀웨어 대하여 메타 정보 분석, API 분석, PE 구조 분석 중 적어도 어느 하나를 통해 정적 분석을 수행할 수 있다.
일반적으로 소프트웨어는 그 제작 과정에서 프로그램에 대한 이름, 버전 정보, 제품명 등을 메타 정보로 표기하며, 정적 분석부(330)는 이러한 메타 정보를 소프트웨어의 목적과 용도를 식별하기 위한 기초 정보로 활용할 수 있다.
또한, 정적 분석부(330)는 시스템 자원을 사용하거나 다른 응용프로그램과의 상호 작용을 위해 프로그램 내부의 자원을 호출하는 API(Application Programming Interface)에 대하여, 멀웨어의 바이너리 파일 자체를 분석하거나 프로그램 동작 과정에서 호출되는 API 정보를 후킹함으로써 분석할 수 있다.
나아가 정적 분석부(330)는 PE(Portable Executable) 파일 구조를 분석할 수 있으며, PE 헤더를 분석하여 파일의 속성 정보를 획득할 수 있고, 실행 파일 압축(Packing) 여부나 실행 파일의 컴파일러(Compiler) 역시 분석할 수 있다.
결국, 정적 분석부(330)는 해당 멀웨어의 실행 없이 멀웨어의 구조와 동작을 분석할 수 있다.
한편, 동적 분석부(340)는 가상머신(VM) 또는 미니 베어본 PC(NUC)와 같은 제어 가능한 환경에서 멀웨어를 실행시켜 프로세스 및 시스템의 상태 변화를 분석하며, 실행압축(Run-Time Packer), 코드 난독화(Code Obfuscation)와 무관하게 정확한 실제 행위를 관찰할 수 있다.
동적 분석부(340)는 상기 다운로드 한 멀웨어를 실행시키고, 상기 실행된 멀웨어가 레지스트리(Registry)를 변경하는지, 특정 C2(Command & Control, C&C) 서버로의 접속을 유도하는지 또는 차일드 프로세스(Child Process)를 생성하는지 등의 행위를 분석한다.
예컨대, 동적 분석부(340)는 해당 멀웨어의 실행 과정에서 호출하는 레지스트리 빈도, 호출 프로세스, 호출 결과를 분석하여 멀웨어의 특징을 분석할 수 있다.
상기 레지스트리(Registry)는 윈도우 운영체제의 모든 설정 정보를 저장하는 데이터베이스의 개념으로 운영체제가 동작하는 구성 값과 설정, 운영체제 소프트웨어정보, 하드웨어 정보, 사용자의 PC 선호도 등에 대한 정보를 포함한다.
멀웨어는 악의적인 목적을 달성하기 위해서 자동실행등록, 윈도우 방화벽 등록/삭제, 원격 접속터미널 활성화, 서비스 등록 등과 같은 레지스트리 접근을 수행하며, 동적 분석부(340)는 이러한 레지스트리의 변화를 분석하여 해당 멀웨어의 특징을 파악할 수 있다.
또한, 동적 분석부(340)는 해당 멀웨어의 실행 과정에서, 접속을 유도하는 C2 서버에 대한 정보를 분석하여 해당 멀웨어의 특징을 파악할 수 있다.
상기 C2 서버는 멀웨어에 감염된 엔드포인트에 대해 멀웨어 공격자가 명령하거나 제어할 수 있는 인프라로, 파일 삭제, 다운로드, 업로드, 명령 실행, 로그 전송 등 다양한 기능을 수행할 수 있다.
이에, 동적 분석부(340)는 상기 C2 서버의 IP, URL, 포트, 프로토콜 등을 분석하여 상기 C2 서버에 접속을 유도하는 해당 멀웨어의 특징을 파악할 수 있다.
나아가 동적 분석부(340)는 해당 멀웨어의 실행 과정에서 추가적으로 생성되는 차일드 프로세스를 분석하여 멀웨어의 특징을 분석할 수도 있다.
실시 예에 따라, 동적 분석부(340)는 가상머신(VM)을 통해 분석을 수행하는 경우, 상기 멀웨어에 ANTI VM 기법이 적용되는지를 확인하고, ANTI VM 기법이 존재하는 경우에는 해당 명령어를 삭제하거나 API 후킹을 통해 이를 우회한 후에 해당 멀웨어를 실행시켜 분석할 수도 있다.
결국, 본 발명의 멀웨어 분석모듈(310)은 해당 멀웨어에 대한 정적 분석 결과 및 동적 분석 결과를 도출함으로써, 추후 IOC 모듈(350)이 해당 멀웨어에 대한 IOC를 생성할 수 있도록 한다.
나아가, 본 발명의 멀웨어 분석모듈(310)은 머신러닝 스코어링 기반의 엔드포인트 에이전트(EPP/EDR)로부터 이미 멀웨어로 판정된 해당 멀웨어에 대한 정적, 동적 분석을 수행함으로써 머신러닝 알고리즘을 이용한 스코어링 기반의 엔드포인트 에이전트(EPP/EDR)의 멀웨어 오탐 문제를 최소화할 수 있는 효과도 있다.
실시 예에 따라, 위협 분석 서버(300)의 멀웨어 수신부(320)는 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트로부터 특정 파일에 대한 분석 요청을 수신할 수도 있다.
이때, 멀웨어 수신부(320)는 상기 분석 요청에 대응하여 상기 특정 파일을 상기 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트로부터 직접 수신하고, 멀웨어 분석 모듈(310)은 상기 수신한 특정 파일에 대한 정적 분석 및 동적 분석을 수행할 수 있다.
다시 도 4를 참조하면, IOC 모듈(350)은 멀웨어 분석모듈(310)에서 분석된 결과에 따라 해당 멀웨어에 대한 IOC를 생성하는 IOC 생성부(360) 및 생성한 IOC로부터 보안정책을 자동 수립할 수 있도록 하는 IOC 연동부(370)를 포함한다.
IOC 생성부(360)는 멀웨어 분석 모듈(310)에서 분석된 정적 분석 결과와 동적 분석 결과에 따라 해당 멀웨어에 대한 IOC(Indicator Of Compromise)를 생성한다.
실시 예에 따라, IOC 생성부(360)는 상기 정적, 동적 분석 결과에 따라 목적지 IP, URL, 포트(port), 프로토콜(protocol), HKLM 레지스트리 변경 값, 사용자 이름(user name), 생성되는 차일드 프로세스명(child process name) 중 적어도 어느 하나를 필드값으로 포함하여 상기 IOC를 생성할 수 있다.
즉, IOC 생성부(360)는 해당 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 목적지 IP, URL, 포트, 프로토콜을 필드값으로 하여 IOC를 생성할 수 있고, 해당 멀웨어가 레지스트리를 변경하는 멀웨어로 분석되면 HKLM 레지스트리 변경 값을 필드값으로 하여 IOC를 생성할 수 있으며, 해당 멀웨어가 차일드 프로세스를 생성하는 멀웨어로 분석되면 생성되는 차일드 프로세스명을 필드값으로 하여 IOC를 생성할 수 있다.
마찬가지로 해당 멀웨어가 C2 서버 연결, 레지스트리 변경 및 차일드 프로세스를 한꺼번에 수행하는 멀웨어로 분석되는 경우에는 상기의 요소들을 모두 포함하는 IOC를 생성할 수 있다.
실시 예에 따라, IOC 모듈(350)은 IOC 생성부(360)에서 생성된 IOC의 유효성을 검증하기 위한 IOC 검증부(380)를 더 포함할 수도 있다.
예컨대, IOC 검증부(380)는 IOC 생성부(360)에서 생성된 IOC에 목적지 IP나 URL이 포함되어 있는 경우(즉, 해당 멀웨어가 C2 서버에 연결하는 경우)에 외부 평판도 비교 사이트 조회를 통해 상기 IP나 URL이 특정 보안 사안과 연계되어 있는지 확인하여 검증할 수 있다.
한편, IOC 연동부(370)는 IOC 생성부(360)로부터 생성된 IOC에 따라, 기업 네트워크(100)의 네트워크 보안솔루션(170)에 적용할 보안정책을 자동 수립하여 네트워크 보안솔루션(170)에 연동한다.
예컨대, IOC 생성부(360)로부터 생성된 IOC의 필드값에 목적지 IP, URL, 포트, 프로토콜이 포함되어 있는 경우, IOC 연동부(370)는 네트워크 보안솔루션(170) 중 방화벽에 적용할 보안정책을 수립하여 연동할 수 있으며, 상기 방화벽에 적용할 보안정책은 상기 목적지 IP, URL의 접속을 차단시키는 정책일 수 있다.
또한, IOC 생성부(360)로부터 생성된 IOC의 필드값에 레지스트리 변경값이 포함되어 있으면, IOC 연동부(370)는 네트워크 보안 솔루션(170)중 NAC에 적용할 보안정책을 수립하여 연동할 수 있고, 상기 NAC에 적용할 보안정책은 상기 특정 레지스트리가 변경되지 않도록 차단하는 정책일 수 있다.
결국, IOC 연동부(370)는 생성한 IOC를 보안정책으로써 네트워크 보안 솔루션(170)에 연동할 수 있으므로 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트도 보호할 수 있게 된다.
한편, 리포팅 모듈(390)은 멀웨어 분석모듈(310)로부터 분석된 정적 분석 및 동적 분석 결과를 주간별, 월별, 분기별로 리포팅하여 매니지먼트 콘솔(MC)로 전송할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 엔드포인트에 기반한 관리형 탐지 및 대응 방법을 설명하기 위한 순서도이다.
도 1 내지 도 5를 참조하면, 엔드포인트 에이전트(EPP/EDR)는 엔드포인트(예컨대, 130-1 ~ 130-4)에 설치되어 멀웨어를 탐지 및 차단한다(S100).
엔드포인트 에이전트(EPP/EDR)는 예측 기반과 스코어링 기반의 머신러닝 알고리즘을 이용하여 멀웨어를 탐지하여 차단(S100)함으로써 알려지거나 알려지지 않은 멀웨어에 관계없이 엔드포인트(예컨대, 130-1 ~ 130-4)의 보호가 가능하다.
이후, 엔드포인트 에이전트(EPP/EDR)는 엔드포인트로부터 탐지된 멀웨어에 대한 메타 데이터(Meta_Data)를 생성하고(S110), 생성한 메타 데이터(Meta_Data)를 클라우드 서버(200)를 통해 위협분석 서버(300)의 멀웨어 분석모듈(310)로 전송한다(S120).
이때, 상기의 메타 데이터(Meta_Data)는 멀웨어가 탐지된 엔드포인트에 대한 정보, 호스트명, 엔드포인트 에이전트(EPP/EDR) 설치 날짜, 차단 파일명 및 발견 경로, 파일 대표 해쉬 값을 포함할 수 있다.
멀웨어 분석모듈(310)의 멀웨어 수신부(320)는 엔드포인트 에이전트(EPP/EDR)로부터 탐지된 멀웨어에 대한 메타데이터를 수신하고(S130), 수신한 메타데이터에 상응하는 멀웨어를 클라우드 서버(200)의 멀웨어 데이터베이스(M-DB)로부터 다운로드 한다(S140).
실시 예에 따라, 멀웨어 수신부(320)는 상기 수신한 메타데이터에 상응하는 멀웨어가 클라우드 서버(200)의 멀웨어 데이터베이스(M-DB)에 존재하지 않는 경우, 상기 탐지된 멀웨어를 엔드포인트로부터 직접 수신할 수도 있다(S140-1).
다른 실시 예에 따라, 멀웨어 수신부(320)는 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트로부터 특정 파일에 대한 분석 요청을 수신하고(S130-2), 상기 분석 요청에 대응하여 상기 특정 파일을 상기 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트로부터 직접 수신할 수도 있다(S140-2).
정적 분석부(330)는 상기 다운로드한 멀웨어 대하여 메타 정보 분석, API 분석, PE 구조 분석 중 적어도 어느 하나를 통해 정적 분석을 수행한다(S200).
동적 분석부(340)는 가상머신(VM) 또는 미니 베어본 PC(NUC)와 같은 제어 가능한 환경에서 상기 다운로드 한 멀웨어의 실행을 통해 동적 분석을 수행한다(S250).
이때, 동적 분석부(340)는 상기 실행된 멀웨어가 레지스트리(Registry)를 변경하는지, 특정 C2(Command & Control, C&C) 서버로의 접속을 유도하는지 또는 차일드 프로세스(Child Process)를 생성하는지 등의 행위를 분석할 수 있다(S250).
실시 예에 따라, 동적 분석부(340)는 가상머신(VM)을 통해 분석을 수행하는 경우, 상기 멀웨어에 ANTI VM 기법이 적용되는지를 확인하고, ANTI VM 기법이 존재하는 경우에는 해당 명령어를 삭제하거나 API 후킹을 통해 이를 우회한 후에 해당 멀웨어를 실행시켜 분석할 수도 있다(S250-1).
IOC 모듈(350)의 IOC 생성부(360)는 멀웨어 분석 모듈(310)에서 분석된 정적 분석 결과와 동적 분석 결과에 따라 해당 멀웨어에 대한 IOC(Indicator Of Compromise)를 생성한다(S300).
이때, IOC 생성부(360)는 상기 정적 분석 및 동적 분석 결과에 따라 목적지 IP, URL, 포트(port), 프로토콜(protocol), HKLM 레지스트리 변경 값, 사용자 이름(user name), 생성되는 차일드 프로세스명(child process name) 중 적어도 어느 하나를 필드값으로 포함하여 상기 IOC를 생성할 수 있다(S300).
즉, IOC 생성부(360)는 해당 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 목적지 IP, URL, 포트, 프로토콜을 포함한 IOC를 생성할 수 있고, 해당 멀웨어가 레지스트리를 변경하는 멀웨어로 분석되면 HKLM 레지스트리 변경 값을 포함하는 IOC를 생성할 수 있으며, 해당 멀웨어가 차일드 프로세스를 생성하는 멀웨어로 분석되면 생성되는 차일드 프로세스명을 포함한 IOC를 생성할 수 있다.
IOC 검증부(380)는 IOC 생성부(360)에서 생성된 IOC에 목적지 IP나 URL이 포함되어 있는 경우에 외부 평판도 비교 사이트 조회를 통해 상기 IP나 URL이 특정 보안 사안과 연계되어 있는지 확인하여 검증할 수 있다(S320).
IOC 연동부(370)는 IOC 생성부(360)로부터 생성된 IOC에 따라, 기업 네트워크(100)의 네트워크 보안솔루션(170)에 적용할 보안정책을 자동 수립하여 네트워크 보안솔루션(170)에 연동한다(S400).
예컨대, 생성된 IOC의 필드값에 목적지 IP, URL, 포트, 프로토콜이 포함되어 있는 경우, IOC 연동부(370)는 상기 목적지 IP, URL의 접속을 차단하는 정책을 네트워크 보안솔루션(170)의 방화벽 정책으로 연동한다(S400).
또한, 생성된 IOC의 필드값에 레지스트리 변경값이 포함되어 있으면, IOC 연동부(370)는 상기 특정 레지스트리의 변경을 차단하는 정책을 네트워크 보안 솔루션(170)의 NAC 정책으로 연동한다(S400).
결국, IOC 연동부(370)는 생성한 IOC를 보안정책으로써 네트워크 보안 솔루션(170)에 연동할 수 있으므로 엔드포인트 에이전트(EPP/EDR)가 설치되지 않은 엔드포인트도 보호할 수 있게 된다.
리포팅 모듈(390)은 정적 분석부(330) 및 동적 분석부(340)로부터 분석된 정적 분석 및 동적 분석 결과를 주간별, 월별, 분기별로 리포팅하여 매니지먼트 콘솔(MC)로 전송한다(S500).
이와 같이, 본 발명의 일 실시 예에 따른 MDR 시스템(10) 및 MDR 방법은 엔드포인트 에이전트(EPP/EDR)를 통해 차단된 멀웨어에 대한 IOC를 자동으로 생성할 수 있고, 생성한 IOC를 네트워크 보안솔루션(170)의 보안 정책에 자동 연동시킬 수 있는 효과가 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능하다.
따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10 : MDR 시스템 100 : 기업 네트워크
130-1 ~ 130-n : 엔드포인트 170 : 네트워크 보안 솔루션
200 : 클라우드 서버 300 : 위협 분석 서버
310 : 멀웨어 분석모듈 320 : 멀웨어 수신부
330 : 정적 분석부 340 : 동적 분석부
350 : IOC 모듈 360 : IOC 생성부
370 : IOC 공유부 380 : IOC 검증부
390 : 리포팅 모듈

Claims (12)

  1. 각각이 머신러닝 알고리즘을 통해 멀웨어를 탐지 및 차단하기 위한 엔드포인트 에이전트가 설치되거나 설치되지 않은 복수의 엔드포인트들과 각각이 소정의 보안 정책을 상기 엔드포인트 에이전트가 설치되거나 설치되지 않은 복수의 엔드포인트들에게 적용하기 위한 복수의 네트워크 보안 솔루션들을 포함하는 기업 네트워크;
    상기 복수의 엔드포인트들 중 상기 엔드포인트 에이전트가 설치된 어느 하나에서 탐지 및 차단된 멀웨어를 분석하고,
    상기 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 목적지 IP, URL, 포트 및 프로토콜 중 적어도 어느 하나를 필드값으로 하여 IOC를 생성하고, 상기 멀웨어가 HKLM 레지스트리값을 변경하는 멀웨어로 분석되면 HKLM 레지스트리 변경 값을 필드값으로 하여 상기 IOC를 생성하며,
    상기 생성한 IOC의 필드값에 상기 목적지 IP나 URL이 포함되어 있는 경우에 상기 복수의 네트워크 보안솔루션들 중 방화벽에 적용할 상기 보안 정책을 수립하여 연동하고, 상기 생성된 IOC의 필드값에 상기 HKLM 레지스트리 변경 값이 포함되어 있는 경우에 상기 복수의 네트워크 보안 솔루션들 중 NAC에 적용할 상기 보안 정책을 수립하여 연동하는 위협 분석 서버; 및
    상기 기업 네트워크와 상기 위협 분석 서버를 연결하는 클라우드 서버;를 포함하는 엔드포인트에 기반한 관리형 탐지 및 대응 시스템.
  2. 제1항에 있어서, 상기 위협 분석 서버는,
    상기 복수의 엔드포인트들 중 어느 하나에서 탐지 및 차단된 멀웨어에 대해 정적 분석 및 동적 분석을 수행하는 멀웨어 분석모듈;
    상기 멀웨어 분석모듈에서 분석된 결과에 따라 상기 IOC를 생성하여 상기 보안 정책을 수립하고, 상기 복수의 네트워크 보안 솔루션들 중 해당하는 네트워크 보안 솔루션에 상기 수립한 보안 정책을 연동하는 IOC 모듈; 및
    상기 멀웨어 분석모듈에서 분석된 결과를 상기 복수의 엔드포인트들 중 매니지먼트 콘솔이 설치된 엔드포인트에 리포팅하는 리포팅 모듈;을 포함하는 엔드포인트에 기반한 관리형 탐지 및 대응 시스템.
  3. 제2항에 있어서, 상기 멀웨어 분석모듈은,
    상기 엔드포인트로부터 탐지 및 차단된 멀웨어에 대한 메타 데이터를 수신하고, 상기 수신한 메타 데이터에 상응하는 멀웨어를 상기 클라우드 서버의 멀웨어 데이터 베이스로부터 다운로드 하는 멀웨어 수신부;
    상기 다운로드한 멀웨어를 역코딩하여 메타 데이터 분석, API 분석, PE 구조 분석 중 적어도 어느 하나를 수행함으로써 상기 정적 분석을 수행하는 정적 분석부; 및
    상기 다운로드한 멀웨어를 가상 머신 또는 베어 메탈 시스템을 통해 실행시켜 분석함으로써 상기 동적 분석을 수행하는 동적 분석부;를 포함하는 엔드포인트에 기반한 관리형 탐지 및 대응 시스템.
  4. 제2항에 있어서, 상기 멀웨어 분석모듈은,
    상기 정적 분석 결과 및 상기 동적 분석 결과를 통해 상기 엔드포인트 에이전트로부터 탐지 및 차단된 멀웨어의 오탐을 방지하는 것을 특징으로 하는 엔드포인트에 기반한 관리형 탐지 및 대응 시스템.
  5. 제2항에 있어서, 상기 IOC 모듈은,
    상기 멀웨어 분석모듈의 정적 분석 및 동적 분석 결과에 따라 상기 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 상기 목적지 IP, URL, 포트 및 프로토콜 중 적어도 어느 하나를 필드값으로 하여 상기 IOC를 생성하고, 상기 멀웨어가 HKLM 레지스트리값을 변경하는 멀웨어로 분석되면 상기 HKLM 레지스트리 변경 값을 필드값으로 하여 상기 IOC를 생성하며, 상기 멀웨어가 차일드 프로세스를 생성하는 멀웨어로 분석되면 생성되는 차일드 프로세스명을 필드값으로 하여 상기 IOC를 생성하는 IOC 생성부; 및
    상기 IOC 생성부로부터 생성된 IOC의 필드값에 상기 목적지 IP나 URL이 포함되어 있는 경우에 상기 복수의 네트워크 보안솔루션들 중 방화벽에 적용할 상기 보안 정책을 수립하여 연동하고, 상기 생성된 IOC의 필드값에 상기 HKLM 레지스트리 변경 값이 포함되어 있는 경우에 상기 복수의 네트워크 보안 솔루션들 중 NAC에 적용할 상기 보안 정책을 수립하여 연동하는 IOC 연동부;를 포함하는 엔드포인트에 기반한 관리형 탐지 및 대응 시스템.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 기업 네트워크 상의 복수의 엔드포인트들 중 엔드포인트 에이전트가 설치된 엔드포인트에서 멀웨어를 탐지 및 차단하는 단계;
    상기 엔드포인트 에이전트가 상기 탐지 및 차단한 멀웨어에 대한 메타 데이터를 생성하여 클라우드 서버를 통해 위협분석 서버의 멀웨어 분석모듈로 전송하는 단계;
    상기 멀웨어 분석모듈이 상기 전송된 메타 데이터에 상응하는 멀웨어를 상기 클라우드 서버의 멀웨어 데이터베이스로부터 다운로드 하는 단계;
    상기 멀웨어 분석모듈이 상기 다운로드한 멀웨어 대하여 메타 정보 분석, API 분석, PE 구조 분석 중 적어도 어느 하나를 통해 정적 분석을 수행하는 단계;
    상기 멀웨어 분석모듈이 가상머신 또는 베어 메탈 시스템을 통해 상기 다운로드 한 멀웨어를 실행하여 동적 분석을 수행하는 단계;
    상기 위협분석 서버의 IOC 모듈이 상기 멀웨어 분석모듈을 통해 상기 멀웨어가 C2 서버에 연결을 시도하는 멀웨어로 분석되면 목적지 IP, URL, 포트, 프로토콜 중 적어도 어느 하나를 필드값으로 하여 상기 멀웨어에 대한 IOC를 생성하고, 상기 멀웨어가 HKLM 레지스트리 값을 변경하는 멀웨어로 분석되면 HKLM 레지스트리 변경 값을 필드값으로 하여 상기 멀웨어에 대한 IOC를 생성하며, 상기 멀웨어가 차일드 프로세스를 생성하는 멀웨어로 분석되면 생성되는 차일드 프로세스명을 필드값으로 하여 상기 멀웨어에 대한 IOC를 생성하는 단계; 및
    상기 IOC 모듈이 상기 생성된 IOC의 필드값에 목적지 IP, URL, 포트, 프로토콜이 포함되어 있으면 상기 목적지 IP, URL의 접속을 차단하는 정책을 수립하여 상기 기업 네트워크의 네트워크 보안솔루션들 중 방화벽에 대한 보안 정책으로서 연동하고, 상기 생성된 IOC의 필드값에 특정 레지스트리 변경값이 포함되어 있으면 상기 특정 레지스트리의 변경을 차단하는 정책을 수립하여 상기 기업 네트워크의 네트워크 보안 솔루션들 중 NAC에 대한 보안 정책으로서 연동함으로써 상기 엔드포인트 에이전트가 설치된 엔드포인트 및 상기 엔드포인트 에이전트가 설치되지 않은 엔드포인트들을 보호하는 단계;를 포함하는 엔드포인트에 기반한 관리형 탐지 및 대응 방법.
  10. 삭제
  11. 삭제
  12. 제9항에 있어서,
    상기 전송된 메타데이터에 상응하는 멀웨어가 상기 멀웨어 데이터베이스에 존재하지 않는 경우에, 상기 멀웨어 분석모듈이 상기 엔드포인트 에이전트로부터 상기 탐지 및 차단된 멀웨어를 직접 수신하는 단계를 더 포함하는 엔드포인트에 기반한 관리형 탐지 및 대응 방법.
KR1020190157971A 2019-12-02 2019-12-02 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법 KR102189361B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020190157971A KR102189361B1 (ko) 2019-12-02 2019-12-02 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
PCT/KR2020/017010 WO2021112494A1 (ko) 2019-12-02 2020-11-26 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
US17/778,877 US20220417255A1 (en) 2019-12-02 2020-11-26 Managed detection and response system and method based on endpoints

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190157971A KR102189361B1 (ko) 2019-12-02 2019-12-02 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법

Publications (1)

Publication Number Publication Date
KR102189361B1 true KR102189361B1 (ko) 2020-12-09

Family

ID=73787068

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190157971A KR102189361B1 (ko) 2019-12-02 2019-12-02 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법

Country Status (3)

Country Link
US (1) US20220417255A1 (ko)
KR (1) KR102189361B1 (ko)
WO (1) WO2021112494A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11743286B2 (en) * 2021-01-29 2023-08-29 Palo Alto Networks, Inc. Combination rule mining for malware signature generation
CN114006832B (zh) * 2021-10-08 2023-03-21 福建天泉教育科技有限公司 一种检测客户端与服务端之间存在代理服务的方法及终端
CN114143077B (zh) * 2021-11-29 2023-11-10 北京天融信网络安全技术有限公司 一种终端安全防护方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170081386A (ko) * 2016-01-04 2017-07-12 한국전자통신연구원 다중 특징벡터를 이용하는 행위기반 악성코드 탐지 장치 및 방법
KR20180080450A (ko) * 2017-01-04 2018-07-12 한국전자통신연구원 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR101907037B1 (ko) 2017-05-18 2018-10-12 주식회사 안랩 악성 코드 진단 서버, 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120072266A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 전역 네트워크 보안상황 제어 장치 및 방법
KR101968633B1 (ko) * 2018-08-27 2019-04-12 조선대학교산학협력단 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170081386A (ko) * 2016-01-04 2017-07-12 한국전자통신연구원 다중 특징벡터를 이용하는 행위기반 악성코드 탐지 장치 및 방법
KR20180080450A (ko) * 2017-01-04 2018-07-12 한국전자통신연구원 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법
KR101907037B1 (ko) 2017-05-18 2018-10-12 주식회사 안랩 악성 코드 진단 서버, 시스템 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템

Also Published As

Publication number Publication date
US20220417255A1 (en) 2022-12-29
WO2021112494A1 (ko) 2021-06-10

Similar Documents

Publication Publication Date Title
US10599841B2 (en) System and method for reverse command shell detection
US10095866B2 (en) System and method for threat risk scoring of security threats
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
Modi et al. A survey of intrusion detection techniques in cloud
US20150244730A1 (en) System And Method For Verifying And Detecting Malware
US8869268B1 (en) Method and apparatus for disrupting the command and control infrastructure of hostile programs
US8079030B1 (en) Detecting stealth network communications
US10216931B2 (en) Detecting an attempt to exploit a memory allocation vulnerability
US9548990B2 (en) Detecting a heap spray attack
CN111737696A (zh) 一种恶意文件检测的方法、系统、设备及可读存储介质
Grégio et al. Toward a taxonomy of malware behaviors
KR102189361B1 (ko) 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
EP3374870B1 (en) Threat risk scoring of security threats
US9584550B2 (en) Exploit detection based on heap spray detection
US10771477B2 (en) Mitigating communications and control attempts
Man et al. A collaborative intrusion detection system framework for cloud computing
Deng et al. Lexical analysis for the webshell attacks
Inayat et al. Comprehensive review of malware detection techniques
JP2022094354A (ja) マルウェア検出のためのコンテキストプロファイリング
Tupakula et al. Dynamic state-based security architecture for detecting security attacks in virtual machines
Afzulpurkar et al. Outgoing data filtration for detecting spyware on personal computers
Ogwara et al. Enhancing Data Security in the User Layer of Mobile Cloud Computing Environment: A Novel Approach
US20230344838A1 (en) Detecting microsoft .net malware using machine learning on .net structure
KR20230147277A (ko) 네트워크 보안 시스템 및 이를 이용한 네트워크 보안 방법
Deep et al. Security In Smartphone: A Comparison of Viruses and Security Breaches in Phones and Computers

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant