ESET 기술

ESET’s 차별화된 기술.

첨단 보호 기능을 지속적으로 개발.


Exploit Blocker

Exploit Blocker는 웹 브라우저, PDF리더, 이메일 클라이언트 또는 MS Office 구성요소 등 사용자 시스템에서 자주 취약점 공격(exploit)의 대상이 되는 애플리케이션의 보호를 강화하기 위해 만들어졌습니다. 또 악성 파일 자체의 탐지에 초점을 맞추던 기존의 기술과는 전혀 다른 차별화된 기술을 적용하여 한 층의 보호벽을 추가해줍니다.

즉, 파일자체의 탐지보다는 프로세스의 동작을 모니터하고 exploit로 의심되는 활동을 포착하여 분석하고, 즉각적으로 위협을 차단합니다. 일부 수상한 활동은 ESET의 클라우드 시스템에서 추가적으로 처리함으로써, Exploit Blocker는 타겟 공격과 소위 제로 데이 공격(zero-day attack)인 알려지지 않은 exploit로부터 사용자들을 보호할 수 있게 해줍니다.

관련 제품 - Exploit Blocker 기술이 적용되는 제품

Advanced Memory Scanner

Advanced Memory Scanner 는 최신 악성코드에 대한 보호를 강화하기 위해 만들어졌기 때문에 Exploit Blocker와 같이 사용하기에 적합합니다. 탐지를 피하기위해서 악성코드를 만드는 사람들은 주로 파일 난독화(file obfuscation) 또는 암호화 기법을 따로 또는 함께 사용합니다. 이 때문에 unpacking문제가 생기고, 에뮬레이션이나 휴리스틱스 등의 일반적인 안티말웨어 수단을 피할 수 있는 가능성이 큽니다. 이 문제를 해결하기 위해 Advanced Memory Scanner는 악성 프로세스의 동작을 관찰하고 메모리에서 decloaking한 후에 스캐닝을 한다. 이 때문에 강도 높게 난독화된 코드를 포함하여 악성코드 감염을 효과적으로 예방할 수 있다.

관련 제품 - Advanced Memory Scanner 기술이 적용된 제품:

Vulnerability Shield

Vulnerability shield는 방화벽의 연장으로서 네트워크 수준에서 CVE( Common Vulnerabilities and Exposures)의 탐지를 향상시킵니다.

SMB, RPC and RDP 등 광범위하게 사용되는 프로토콜의 CVE 탐지기능을 실행하여 악성코드의 확산, 네트워크로 전파되는 공격, 그리고 패치가 아직 출시나 배포되지 않은 exploit에 대한 필수적인 보호벽을 추가해줍니다.

관련 제품 - Vulnerability Shield 기술이 적용된 제품:

ESET LiveGrid®

ThreatSence.NET® 조기경보시스템을 기반으로 개발된 ESET LiveGrid® 은 전세계 ESET사용자들이 보낸 데이터를 ESET's Virus Lab로 전달합니다. ESET Virus Lab의 전문가들은 이 정보를 이용하여 전세계적인 위협의 성격과 범위를 정확히 파악하여 ESET의 virus signature database의 관련 업데이트를 전송합니다. 이를 통해 ESET는 새로운 위협에 대하여 항시 적시에 대응하고 있습니다.

더불어, 이 제품은 reputation system을 구현하여 안티말웨어 솔루션의 전반적인 효율성을 향상시킵니다. 사용자의 시스템에서 실행가능한 파일이나 아카이브가 검사받을 때 먼저 hash tag를 화이트/블랙 리스트 데이터베이스에 대조합니다.

검사 대상 파일이 화이트리스트에 있는 것이 확인되면 클린한 파일로 간주되어 향후 스캔에서 제외되도록 플래그(flag)를 답니다. 만약 블랙리스트에 있는 것이 확인되면 위협의 성격에 따라 적절한 조치를 취하게 됩니다. 어느 리스트에도 없을 경우에만 파일을 면밀히 스캐닝하고 그 결과에 따라 한 쪽 리스트에 등록될 후보가 됩니다. 이런 접근 방식은 스캐닝 성능을 더욱 향상시킵니다.

이런 reputation system 은 업데이트된 바이러스 데이터베이스 (1일 수회 업데이트됨)를 통해 사용자 컴퓨터에 전달되기 이전에 말웨어 샘플을 감지할 수 있게 해줍니다.

관련 정보: ESET LiveGrid® Technology 는 모든 ESET 안티바이러스 제품에 적용됨:

logo: We Live Security
보안관련 최신 뉴스, 리서치와 기타.
We Live Security 바로가기

Anti-Phishing

ESET의 Anti-Phishing 기술은 가짜 웹사이트 가 사용자의 비밀번호, 인터넷 뱅킹 데이터 외 기타 민감한 개인 정보를 획득하려고 할 때 이로부터 사용자를 보호해줍니다. 사용자의 컴퓨터가 어떤 URL에 접속하려고 하면, ESET시스템은 내부 피싱사이트 데이터베이스에 조회하여 확인되면 즉시 그 URL에 대한 연결을 끊고 경고메세지를 화면에 띄웁니다. 이 시점에서 사용자는 원하면 위험을 감수하고 계속 그 URL접속을 진행할 수도 있으며, 또는 해당 URL에 대한 경고가 오류일 가능성이 있다고 ESET측에 알릴 수도 있습니다.

ESET의 안티-피싱 데이터베이스는 정기적으로 업데이트 되며(사용자의 컴퓨터는 피싱 위협에 대한 새로운 데이터를 20분에 한 번씩 수신함), 이 데이터베이스에은 파트너들이 제공한 정보도 포함되어있습니다.

이 같은 접근방식과 함께 ESET Anti-Phishing은 특정적, 선제적 알고리즘을 실행합니다. 이 알고리즘은 특정 웹사이트의 시각적 디자인을 검사하여, 진짜를 위장한 웹사이트를 가려냅니다. 이런 방식으로 가짜 인터넷 뱅킹 양식 등을 탐지합니다.

관련 제품 - Anti-Phishing 기술이 적용된 제품은:

Malware sample processing

ESET’s Security Research Lab 은 매일 다양한 소스로부터 감염된 샘플을 받습니다. 샘플을 보내는 주체는 사용자, 고객, 판매업체 등으로써 (samples@eset.com로 보내세요) 이들로부터 많은 malware 관련 정보를 받습니다.

이와 함께 sample exchange, active한 honey pot 등 역시 중요한 malware 샘플 공급원입니다. 일단 접수된 샘플은 자동화된 알고리즘으로 일차 처리된 후 탐지 전문 엔지니어와 malware 애널리스트들이 정밀하게 평가하며, 접수된 파일이나 URL이 악성이라는 것이 확인되면, 해당 파일이나 URL의 탐지를 위한 알고리즘을 생성합니다.

Detection signature에는 몇 가지 종류가 있는데, 탐지 전문 엔지니어는 malware의 특성을 고려하여 가장 효과적인 signature를 선정해야 합니다. 새로이 제작된 signature 들은 묶어서 Virus Database Update 형태로 고객들에게 보내어집니다. 이 업데이트는 하루에도 수 차례 진행됩니다.

Related products: ESET LiveGrid® Technology is used in all ESET products:

Signature types

ESET의 ThreatSense® 스캐닝 엔진은 악성 항목(파일, 프로세스, URL 등) 를 탐지하기 위해 다양한 detection signatures를 사용합니다. 그 종류는 매우 specific한 hash (악성 binary와 특정 악성코드버전의 탐지에 효과적이며 통계적 목적으로 유용함. 또한 generic하게 탐지하던 악성코드에 대해 보다 정확한 detection name을 부여함)부터 시작하여 소위 말하는 DNA기반 generic signatures까지 다양합니다. 후자는 악성적 행태나 코드의 특성을 지칭하는 비교적 복잡한 개념이다. 이런 generic signature도 역시 heuristics와 emulation을 이용하여 스캔된 샘플을 평가한다.

이 generic signature야말로 ESET의 선제적 감지의 강점이다. 이는 탐지가 효과적이며 동시에 효율적이라는 의미다. 제대로 만들어진 generic signature는 하나로도 수 천개의 관련 malware변종을 탐지할 수 있기 때문에 , ESET의 안티바이러스 소프트웨어는 이미 알려지거나 이전에 본 malware와 뿐만 아니라 아직 알려지지 않은 변종까지도 탐지할 수 있는 것이다.

관련 제품: ESET LiveGrid® 기술은 모든 ESET 제품에 적용됨:

Cleaning

대부분의 경우 컴퓨터가 malware에 감염되면 탐지된 파일을 삭제하는 것으로 충분하지만, 어떤 경우에는 - 예를 들어 malware가 OS를 변경시켰다거나 parasitic virus가 사용자의 파일을 감염시킨 경우 - 상황이 더 복잡해진다. 단순하게 감염된 파일을 삭제시키면 데이터의 유실을 초래하거나 컴퓨터의 부팅이 불가능해질 수 있습니다.

이럴 때는 감염된 파일을 clean하거나 disinfect하는 방식을 취해야 한다. 대부분의 경우, cleaning은 설치된 안티바이러스가 직접 수행합니다. 그러나, 예외적으로 disinfection과정이 너무 복잡하거나 위험(시스템의 안정성 저해)한 경우에는 독립적 cleaner를 release시키는 방법을 취할 수 있다. 이런 cleaner들은 무료로 제공되며, 고객이 아닌 일반인들도 무료로 이용할 수 있습니다.

이용가능한 cleaner 목록 보기

관련 제품: ESET LiveGrid® Technology 는 모든 ESET제품에 적용됨:

Advanced Heuristics

Advanced Heuristics 는 선제적 탐지를 위해 사용되는 기술 중 하나로서 emulation을 통한 기능을 기반으로 알려지지 않은 malware를 탐지할 수 있게 해줍니다. 최신 버전에는 binary translation을 바탕으로 완전히 다른 code emulation을 도입하였습니다.

이 새로운 binary translator는 악성코드 작성자가 사용하는 anti-emulation 기법 bypass합니다. 이러한 개선점과 함께 DNA기반 스캐닝도 대폭 확장되어, 최신 악성코드를 겨냥한 generic 탐지 기능을 더욱 효과적으로 만들어 줍니다.

관련 제품: ESET LiveGrid® Technology 는 모든 ESET제품에 적용됨:

We Live Security

IT 보안과 관련된 최신 동향, 분석, 그리고 전문가들의 견해와 설명을 제공합니다.

welivesecurity.com 바로 가기

ESET Security Forum

다양한 주제에 대하여 ESET의 전문가들이 진행하는 논의에 참여하세요.

ESET Security Forum 바로 가기

ESET Community

ESET 페이스북에 와서 팬 컨텐츠 등 많은 정보를 가져가세요!

Facebook 바로 가기