본문 바로가기
Security Essay

문서 악성코드 무료 분석 및 무해화 서비스

by _Jay_ 2023. 1. 16.
반응형

 

 

최근 많은 악성코드가 문서 파일을 기반으로 배포되고 있는데요. 사실 그럴 수 밖에 없는 것이 대부분의 브라우저나 메일에서 EXE와 같은 실행 파일이 첨부 되어 있으면 기본적으로 차단하기도 하고, 이를 우회하기 위해 암호를 걸어 압축을 하더라도 사용자들이 실행 파일은 클릭하면 안된다는 것을 어느 정도 인지하고 있기 때문이죠.

 

반면 많은 분들이 아직까지는 업무나 일상에서 자주 쓰는 문서를 기반으로 한 악성코드에는 익숙하지 않은거 같습니다. 그래서 오늘은 문서의 악성 유무를 분석해주는 서비스에 대해 말씀드리고, 간단하게 원리에 대해서도 설명드리도록 해보죠. 우선 CDR에 대한 기본적인 내용은 아래의 글을 참고해주시면 될 것 같습니다.

 

MARS DEFENDER 소개 페이지, 출처: 시큐레터


오늘 설명드리는 서비스는 마스 디펜더(Mars Defender)라는 이름으로 문서형 악성코드 탐지 기술 솔루션 공급을 주요 사업으로 삼고 있는 보안 업체인 시큐레터에서 개발 했습니다. 문서형 악성코드 자체가 워드나 PDF와 같은 문서에 스크립트 언어를 이용하여 매크로를 추가하는 방식으로 만들어지다 보니 문서 구조에 대한 이해가 필수적이죠.

 

해당 업체는 문서형 악성코드가 주류를 이루기 전부터 연구를 시작했기 때문에 높은 기술력을 가지고 있는 회사라 컨퍼런스에서 발표를 할 때 주의 깊게 보고 했는데요. 특히 문서형 악성코드 탐지 기법을 적용한 메일 보안 솔루션에서 두각을 나타내고 있습니다.

 

 

컨텐츠 악성코드를 무력화하는 CDR 보안 솔루션

과거 해커들이 첨부 파일이 포함된 피싱 메일을 보낼 때는 윈도우의 실행파일을 보내는 경우가 많았습니다. 그런데 대부분의 메일 서버에서 실행 파일을 차단하는 정책을 도입한 후로는 그러기

jaysecurity.tistory.com

 

기본적으로 악성 문서의 유무를 판단하기 위해서는 문서 내부에 악성 컨텐츠가 존재하는지 확인해야 합니다. 위에서 말씀드린 매크로 외에도 외부 링크로 연결되는 이미지나, 문서 프로그램 자체의 취약점들을 사용하는지 확인해야 하죠.

 

문서 내에도 다양한 데이터가 있기 때문에 이러한 요소들을 추출해서 악성 행위를 하는 부분들이 있는지 확인하게 됩니다. 보통 이런 보안 솔루션들을 컨텐츠 무해화 솔루션인 CDR로 부르는데, 이와 관련하여 자세하게 설명드린 적이 있기 때문에 더 궁금하신 분들은 위의 글을 참고하시면 좋을 것 같습니다.

 

 

시큐레터, 악성파일 무료 분석&무해화 서비스 ‘마스 디펜더’ 출시

악성코드 탐지 및 차단 기업 시큐레터는 차세대 악성 파일 무료 분석 및 무해화 서비스 ‘마스 디펜더(Mars Defender)’를 출시했다고 29일 밝혔다. 마스 디펜더는 회원가입 없이 이용할 수 있는 무

n.news.naver.com

 

해당 서비스는 바이러스 토탈(Virustotal)과 마찬가지로, 웹 사이트에 문서를 올리면 분석 서버로 전달이 되어 결과만 화면에 보여주는 형태로 동작하는데요. 분석에 시간이 조금 걸리지만 악성 컨텐츠를 포함하는 경우, 이를 제거한 문서도 생성해주고 있기 때문에 여러모로 도움이 될 것 같습니다.

 

다만, 외부 서버로 전달이 되는 만큼 중요한 정보가 담겨 있는 문서인 경우에는 올리지 않는 것이 좋겠죠. 이러한 부분만 조심하신다면 유용하게 서비스를 사용하실 수 있을 것으로 생각됩니다. 그럼 이번 글은 여기서 줄이도록 하겠습니다. 읽어주셔서 감사합니다.

 

 

 

 

반응형

댓글