|
안티랜섬웨어 툴은 어떻게 동작하나요? AhnLab / 2016-08-24
안랩이 지난 7월 4일 베타버전으로 안티랜섬웨어 툴을 공개했다. 이후 사용자들이 이 툴에 대한 동작 원리에 대한 질문이 있어, 이 글을 통해 소개하고자 한다. 이 툴은 인터넷 브라우저로부터 새로운 파일이나 실행파일 등이 다운로드되어 실행 될 때에만 동작하기 때문에 사용자가 별도 운영해야 하는 번거로움을 줄였다. 반면 이러한 이유 때문에 동작 원리에 대한 궁금증을 자아내기도 한 것.
안랩 안티랜섬웨어 툴이 어떻게 동작하는지 글과 동영상을 통해 알아보자.
“안티랜섬웨어 툴을 설치했는데 동작하는 건지 모르겠어요?”
안티랜섬웨어 툴을 다운로드 후 설치를 완료하면 [그림 1]과 같이 “안티랜섬웨어 툴을 사용 중입니다”라는 메시지 창과 함께 오른쪽 하단 트레이에 아이콘이 보인다.
[그림 1] 안랩 안티랜섬웨어 툴 설치 화면
안티랜섬웨어 툴을 설치해도 일반적인 작업이나 웹 서핑 등을 수행해도 아무런 동작이 없다.
이는 사용자 편의를 위해 의심 파일이 유입되지 않는 한, 특별히 보여지는 부분이 없게 설계했기 때문이다.
그럼, 실제 랜섬웨어가 유입되었을 때 안랩 안티랜섬웨툴이 어떻게 동작할까?
Locky랜섬웨어를 샘플로 안티랜섬웨어 툴이 어떻게 동작하는지 살펴보자.
사용자 A씨는 [그림 2]와 같이 웹 메일의 Locky(zip 파일)를 다운로드 받게 된다.
[그림 2] 웹메일로 다운로드 받은 Locky.Zip 파일
이 압축 파일을 풀게 되면 [그림 3]과 같은 실행 파일(물론 파일명은 랜덤임)이 보인다.
[그림 3] Locky.Zip 파일 압축 풀기
압축 풀기 과정을 마치고 다운로드된 zip 파일로부터 파생된 Locky.exe를 실행하면 안랩 안티랜섬웨어 툴이 동작을 시작한다. 이 과정에서 안티랜섬웨어 툴은 해당 파일(Locky.exe)에 대해 1차로 안랩 ASD 클라우드 서버를 통해 클라우드 분석을 수행한다.
[그림 4] Locky.exe 실행
클라우드 분석 결과, 이미 알려진 악성코드는 실행 시점에 바로 차단되며, [그림 5]와 같이 알림창을 띄운다..
[그림 5] 안랩 안티랜섬웨어 툴 ‘악성코드 발견’ 알림창
또한 악성코드(랜섬웨어)로 진단될 경우, 실행 자체가 차단되기 때문에 시스템 감염 등은 발생하지 않는다.
[그림 6] 신∙변종 랜섬웨어의 경우 가상 영역에서의 분석 진행
만약 클라우드 분석에서 탐지되지 않은 신종이나 변종 랜섬웨어의 경우, [그림 6]과 같이 가상 영역에서 추가 분석이 수행된다. 이 때 소요 시간은 최대 3분까지이다.
일반적으로 가상 영역으로 격리시켜 추가 분석이 수행되는 기본 조건은 다음과 같다.
1. 인터넷 웹 브라우저를 통해 유입되어 실행될 수 있는 파일(스크립트 포함) 2. 클라우드 분석에서 정상 파일(Normal)이 아닌 알려지지 않은(Unknown) 상태의 파일이 실행되는 경우
가상 영역에서 실행된 프로그램이 랜섬 행위를 수행하게 되면, 안티 랜섬웨어 툴은 [그림 7]과 같이 진단하여 알림창을 띄운다.
[그림 7] 랜섬 행위 확인 후 차단 알림창
이후 안티랜섬웨어 툴은 랜섬웨어가 실행되었던 가상 영역을 초기 상태로 초기화 하여 랜섬웨어가 영향을 끼쳤던 모든 부분을 초기화(Reset)한다. 안랩 안티랜섬웨어 툴은 이런 일련의 과정을 통해 랜섬웨어가 인터넷 브라우저를 통해 사용자 시스템에 유입되더라도 사용자 시스템에 영향을 주지 않게끔 보호한다.
안랩 안티랜섬웨어 툴은 의심스러운 상황에서만 동작하여 사용자 편의성을 향상했고, 신∙변종 랜섬웨어로부터 사용자의 시스템을 보호하는 보안성까지 갖췄다.
|
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 영화를 보기 전 알아두면 좋을 보안 용어 (0) | 2016.09.01 |
|---|---|
| 삼성브라우저로 보는 생체인식의 미래 (0) | 2016.08.29 |
| 개인정보 유출 사고에 대처하는 우리의 자세 (0) | 2016.08.27 |
| 스크립트 파일로 유포되는 랜섬웨어 예방 팁! (0) | 2016.08.24 |
| 윈도10, 1주년 업데이트 해보니 (0) | 2016.08.20 |