Symantec Endpoint Protection의 에뮬레이터가 멀웨어를 탐지하고 제거하는 방법

Symantec Endpoint Protection
14에는 사용자 정의 패커 공격의 멀웨어를 차단하는 강력한 최신 에뮬레이터가 도입되었습니다. 자동 보호 및 바이러스 검사에서 이 에뮬레이터는 검사 성능과 효율성을 이전 릴리스보다 10% 이상 향상시킵니다. 이 회피 차단 기술은 압축된 멀웨어 혼동 기술을 해결하여 사용자 정의 패커 안에 숨겨진 멀웨어를 탐지합니다.
사용자 정의 패커란?
많은 멀웨어 프로그램이 전송할 파일의 압축 및 암호화에 사용되는 "패커" 또는 소프트웨어 프로그램을 활용합니다. 이러한 파일은 사용자의 시스템에 도달하는 즉시 메모리에서 실행됩니다.
패커 자체는 멀웨어가 아니지만 공격자는 멀웨어를 숨기고 코드의 실제 의도를 모호하게 하는 데 이 패커를 사용합니다. 멀웨어가 압축 해제되면 악성 페이로드를 실행하고 시작하여 방화벽, 게이트웨이 및 멀웨어 탐지를 우회합니다. 이제 공격자는 상용 패커(UPX, PECompact, ASProtect 및 Themida)를 사용하는 대신 사용자 정의 패커를 생성합니다. 사용자 정의 패커는 독점적 알고리즘을 사용하여 표준 탐지 기술을 우회합니다.
새로운 사용자 정의 패커의 다수가 다형성입니다. 이러한 패커는 코드 자체가 자주 변경되지만 멀웨어의 목적과 기능은 동일하게 유지되는 탐지 차단 전략을 사용합니다. 또한 사용자 정의 패커는 코드를 대상 프로세스에 주입하여 실행 순서를 변경하고 압축 해제 프로그램 루틴을 빈번하게 따돌리는 똑똑한 방법을 사용합니다. 계산 집약적인 일부 사용자 정의 패커는 압축 해제를 어렵게 하는 특수 API를 호출합니다.
사용자 정의 패커는 늦게까지 공격을 숨길 수 있을 정도로 나날이 정교해지고 있습니다.
Symantec Endpoint Protection
에뮬레이터가 사용자 정의 패커를 차단하는 방법
Symantec Endpoint Protection
의 고속 에뮬레이터는 멀웨어가 일반적인 시스템에서 실행되고 있다는 착각에 빠지게 합니다. 실제로 이 에뮬레이터는 사용자 정의 패커로 압축된 파일을 클라이언트 시스템의 경량 가상 샌드박스에서 압축 해제하고 제거합니다. 멀웨어가 페이로드를 완전히 실행하면 격리된 환경에서 위협 요소의 정보가 드러납니다. 바이러스 차단 엔진 및 지능형 엔진이 포함된 정적 데이터 검사기가 페이로드를 처리합니다. 샌드박스는 사용 후 삭제되며 위협 요소를 처리한 후 제거됩니다.
이 에뮬레이터에는 운영 체제, API 및 프로세서 명령을 흉내 내는 정교한 기술이 요구됩니다. 가상 메모리를 관리하는 동시에 다양한 지능형 검사 및 탐지 기술을 실행하여 페이로드를 검사합니다. 깨끗한 파일의 경우 평균 3.5밀리초, 멀웨어의 경우 300밀리초 내에 작업이 완료됩니다. 이는 클라이언트 사용자가 데스크톱에서 파일을 누르는 데 소요되는 시간과 거의 동일합니다. 이 에뮬레이터는 성능 및 생산성에 거의 영향을 미치지 않으면서 신속하게 위협 요소를 탐지할 수 있으므로 클라이언트 사용자의 작업이 중단되지 않습니다. 또한 최소한의 디스크 공간을 사용하며 가상 환경에서 최대 16MB의 메모리를 사용합니다.
이 에뮬레이터는 고급 시스템 학습, 메모리 악용 완화, 동작 모니터링 및 평판 분석과 같은 다른 보호 기술과 함께 작동됩니다. 경우에 따라 여러 엔진이 참여하고 협업하여 공격을 차단, 탐지 및 교정합니다.
에뮬레이터는 인터넷을 사용하지 않습니다. 그러나 에뮬레이터가 사용자 정의 패커에서 추출한 멀웨어에 따라 정적 데이터 검사기 내의 엔진에 인터넷이 필요할 수 있습니다.
에뮬레이터를 구성하는 방법
에뮬레이터는
Symantec Endpoint Protection
소프트웨어에 내장되어 있으므로 구성할 필요가 없습니다. 시만텍은 새로운 위협 요소를 바탕으로 주기적으로 에뮬레이터 컨텐츠를 추가하거나 변경하며 에뮬레이터 엔진에 대한 분기별 컨텐츠 업데이트를 릴리스합니다. 기본적으로 LiveUpdate가 바이러스 및 스파이웨어 정의와 함께 이 컨텐츠를 자동으로 다운로드합니다.
Symantec Endpoint Protection Manager
에는 에뮬레이터가 수행하는 탐지에 대한 개별 로그가 포함되지 않습니다. 대신, 위험 요소 로그 및 검사 로그에서 탐지 내용을 확인할 수 있습니다.