NOTICE


악성코드 입장에서 가장 중요한 것 중에 하나가 AV 제품에 의해 탐지 및 차단되지 않는 것입니다.

그 일환으로 AV 무력화 기법을 종종 사용하기 때문에 AV 제품들은 기본적으로 자기 보호 기능을 가지고 있습니다.

그런데 AV 프로세스를 무력화하지 않더라도 탐지를 우회할 방법이 확인되어 주의가 필요해 보입니다.


AV 회사에서는 최신 악성코드가 발견되면 악성 확인 과정을 거친 후 제품에 적용시킵니다. 그 과정이 백신 업데이트입니다.

만약 백신 패턴 업데이트가 이루어지지 않는다면 악성코드는 탐지 및 차단될 위험에서 벗어날 수 있습니다.


Windows에서 기본적으로 제공하는 보안 제품과 국내 AV 제품들을 가지고 테스트를 해보겠습니다.


먼저 AV 제품들을 최신 상태로 업데이트 했습니다. 그리고 PC의 방화벽 설정에서 각 제품의 업데이트 프로세스를 차단해 보았습니다.


<업데이트 프로세스 차단>

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="TEST" dir=out action=block program="Update Process Path"


<업데이트 서버 IP 차단>

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="TEST" dir=out interface=any action=block remoteip=Update IP/32




1. Windows Defender

 

 Windows Defender의 버전은 1.243.98.0으로 2017년 05월 10일 기준으로 최신 상태입니다.


[Windows Defender_ver 1.243.98.0]


 방화벽에서 Windows Defender의 업데이트 프로세스를 차단 등록할 경우 자체적으로 보호합니다.


[Windows Defender 보호 기능 확인]




2. V3 Lite


 이번에는 V3 Lite로 테스트를 해보겠습니다. 엔진 버전은 2017.05.10.08 입니다.


[V3 Lite_ver 2017.05.10.08]


 방화벽에서 업데이트 프로세스를 차단 등록한 뒤에 업데이트를 시도하면 문제가 발생하는 것을 알 수 있습니다.


[V3 Lite_방화벽 차단 등록]


[V3 Lite_업데이트 문제 발생]




3. 알약 2.5


 ALYac 2.5입니다. 엔진 버전은 2017.05.10으로 최신 상태입니다.


[ALYac 2.5_ver 2017.05.10]


  알약 역시 업데이트 프로세스를 차단 등록한 뒤에 업데이트를 시도하면 문제가 발생하는 것을 알 수 있습니다.


[ALYac 2.5_방화벽 차단 등록]


[ALYac 2.5_업데이트 문제 발생]




4. 문제점


 악성코드가 이러한 방법으로 방화벽 차단 설정을 하고 나면 백신 업데이트가 불가능하기 때문에 악성코드를 탐지 및 차단할 수 없습니다. 2017년 05월 10일에 발견된 악성코드로 V3 Lite에서 테스트 해보겠습니다.


[테스트용 악성코드 샘플]


 먼저 2017.05.10.06 버전에서는 탐지하지 못합니다.


[V3 Lite_ver 2017.05.10.06]


 업데이트 기능을 사용해서 2017.05.10.08 버전으로 수정한 뒤에 검사해보면 탐지하는 것을 확인할 수 있습니다.

'

[V3 Lite_ver 2017.05.10.08]


 다시 2017.05.10.06 버전으로 돌아가서 해당 악성코드가 방화벽 차단 설정을 한다고 합시다. 그렇다면 2017.05.10.06 버전 이후에는 백신 업데이트가 불가능하기 때문에 AV 제품에서는 악성코드를 탐지 및 제거할 수 없게 됩니다.





 이에 사용자의 주의와 빠른 조치가 필요할 것으로 보입니다.


 이상으로 '[정보] 백신 업데이트 차단을 이용한 악성코드 탐지 우회 방법'에 대한 포스팅을 마치겠습니다.