Ddos방어를 위한 Virtual Victim 기술사용한 Fire eye

   근 Ddos사태에 대한   효과적인  대응책으로 이야기되고 있는  Virtual Victim 기술이 궁금해서 자료를 찾아보니  올해 2월쯤에 관련 제품이 소개된 것이 있더군요..   원래 내역중에 일부를 아래에 적었구요.. 좀더 자세한 것은  원문을 참고해주세요

원문출처: http://www.boannews.com/know_how/view.asp?idx=2463&kind=05

—————————————————————————
  이어아이는 2004년 컴퓨터 가상화 기술을 보안에 응용, Virtual Victim 기술을 통해 네트워크상에 알려지거나 알려지지 않은 악성코드에 의한 Bot 감염을 탐지 및 분석하는 하드웨어 일체형 어플라이언스인 Botwall 4200 제품을 선보였다. 이 제품은 네트워크에 미러링이나 TAP을 이용해 Offline 모드로 설치되어 네트워크상에 전송되는 트래픽을 실시간 캡처한다.

  이어아이의 Botwall 제품은 네트워크에 미러링이나 TAP을 이용하여 Offline 모드로 설치되어 네트워크상에 전송되는 트래픽을 실시간 캡처해서 Appliance에 내장된 가상 머신이 캡처된 트래픽 안에 악성코드가 포함되어 있는지를 조사하고 악성코드에 감염된 Bot PC를 발견한 후 이러한 Bot PC를 조종하는 원격지의 제어 서버(C&C : Command and Control 서버)를 찾아낸 후 더 이상 해커가 C&C에 의해 Bot PC를 원격제어 하지 못하도록 막아주는 기능을 제공한다


사용자 삽입 이미지

1단계. 트래픽 캡처 후 헤더 및 웹페이지 분석을 통한 이상트래픽 감지 단계

   트래픽 미러링 또는 TAP을 이용하여 트래픽을 캡처한 후 Client별로 트래픽을 재정돈한다. 이때 이상트래픽 감지(Anomaly Detection)엔진에 의해 의심스러운 트래픽들을 분류하는 작업을 한다. 운영체제의 취약점이나 웹 또는 브라우져의 취약점을 이용한 악성코드가 포함된 것으로 추정되는 의심스러운 트래픽을 분류하게 되며 여기에 사용되는 일련의 패턴들은 파이어아이사의 독자 기술인 Botwall Networks를 통해 전 세계에서 수집된 이상트래픽 정보가 활용된다

2단계. 가상머신을 이용한 악성코드 분석 단계

  이상트래픽 감지단계에서 탐지된 의심스러운 트래픽들은 FireEye Botwall Appliance내에 내장된 다수의 가상 머신에 전달되고 이때 가상머신들이 해당 트래픽을 실제 봇에 감염된 PC와 동일한 환경에서 그대로 재현하게 된다.  이 단계를 통해서 의심스러운 트래픽 안에 악성코드가 존재하는지, 해당 악성코드는 운영 체계내에서 어떻게 동작하는지를 분석하고 이를 통해 Bot에 감염된 PC와 악성코드를 배포하는 사이트 및 감염된 Bot PC를 원격에서 제어하는 C&C 서버를 탐지하게 된다.

  탐지된 정보를 바탕으로 C&C 서버와 감염된 Bot PC간의 통신을 차단함으로써 더 이상 해커에 의해 원격지에서 조정되지 않도록 예방할 수 있게 된다

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다