회사소개

제품

안내

고객지원

Company Overview

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

ZombieZERO Network Inspector

샌드박스 기반의 가상시스템을 이용한
네트워크 APT  공격 탐지 솔루션

ZombieZERO Network Inspector

ZombieZERO Network Inspector 개요

ZombieZERO Network Inspector는 네트워크 상의 패킷을 수집하여 가상시스템을 이용해 APT 공격 여부를 탐지/분석 하는 장비입니다. 가상머신을 이용한 네트워크 기반 탐지시스템과 분석시스템으로 구성되어 있으며, 총 3단계의 시그니처 및 행위기반 분석을 통해 알려지지 않은 신·변종 악성코드를 탐지하여, 잠재된 내부 위협에 대한 사전 대응이 가능합니다.

ZombieZERO Network Inspector의 전체 분석 과정

npcore

주요 기능

> 3단계 악성코드 분석 시스템

  • 1) 시그니처 기반 분석 : 첨부된 압축파일을 해제하여 파일 수집 후 유형별 분류한 뒤 백신엔진(Bitdefender)으로 사전 탐지
  • 행위기반 분석 (정적 및 동적 엔진 기반 분석) : 악성 판단 시 패턴 자동 등록됨
  • 2) 정적 분석 : Yara Rule 을 통한 소스코드 및 스크립트 내 취약점 분석
  • 3) 동적분석 : 가상머신을 통한 실행 및 탐지결과 제공
  • 탐지된 악성코드의 패턴을 생성 후 배포하여 감염 PC 를 치료합니다.
  • 사용자 PC 환경과 동일한 샌드박스 환경을 구성합니다. (라이선스 포함)

> C&C 서버 접근에 대한 이중 탐지/차단

  • Outbound URL 및 URI 접근 패턴을 분석하여 C&C 접속행위 탐지
  • 내부 사용자의 C&C 서버 접속 이중 탐지/차단 (DNS Sinkhole, TCP Reset)
  • NSOC(NPCore Security Operation Center)에서 보유한 C&C 서버 리스트와의 연동을 통해 C&C 정보 라이브 업데이트 지원

> 유·출입되는 대용량 트래픽을 통해 파일수집 지능적 분석 악성행위 탐지

  • Web, FTP, SMTP, IMAP, POP3 등 파일 전송 관련 프로토콜을 통한 유입 파일 수집
  • 실행 및 압축파일, 문서파일 등 다양한 확장자를 가진 유입 파일을 수집/분석
  • 세션별 통합분석
  • 파일의 네트워크 행위(DNS, URL 등)에 대한 유해성 검사
  • 대형 트래픽 상황에서도 관련도 검색을 통한‘Bot net’통신 탐지

> 가상시스템을 통한 행위기반 분석

  • Sandbox 기반의 가상시스템을 제공, 동적 분석 시스템과 정적 분석 시스템으로 구성된 가상 시스템 적용
  • PE파일(DLL, EXE 등)과 압축파일, MS-Office, HWP, PDF 등 다양한 포맷 문서에 대한 분석 기능 제공
  • 동적 분석 시스템으로 의심파일 실행 후 프로세스, 파일, 네트워크, 메모리 등의 행위 모니터링/분석 후 악성 유무에 대한 탐지결과 제공
  • 정적 분석 시스템(PE정적, 문서정적)으로 파일 소스코드 및 스크립트를 분석하여 소프트웨어 취약점(인젝션, 웹 등)을 이용한 시도 가능한 공격 포함 여부를 탐지, 상세정보 제공
  • 실행파일에서 가상시스템상에서의 동작을 탐지하는 부분을 제거하여 강제로 실행을 유도함으로써 가상시스템 회피형 악성코드에 대해서도 탐지

> 탐지/분석

  • 폐쇄 환경에서도 가상시스템을 통해 악성코드 탐지 및 분석
  • 인터넷이 차단된 환경에서도 패턴 업데이트를 수동으로 분석
  • 분석 대상 파일 및 정보를 외부로 전송하는 것을 금지하며, 가상화를 통해 분석합니다.
  • 정규식 문자열을 이용해 사용자 정의 패턴을 등록 및 탐지 합니다.
  • 감염 및 악성행위에 사용된 악성코드 파일을 추출 및 저장합니다.
  • 악성 트래픽에 대한 상세 분석과 PCAP을 통한 분석을 제공합니다.

> 효율성

  • 향후 대상 인원이나 장비 증가에 대비한 확장성 제공
  • 암호화 프로토콜을 이용하여 웹 상에서 장비 관리화면에 접속 가능
  • 네트워크에 영향을 주지않는 미러링 구성에서도 IP, URL 차단 가능
  • 오탐으로 인한 차단 파일에 대한 복원 가능

ZombieZERO Real machine (개발 예정)

> 가상머신을 우회하는 APT/악성코드를 리얼머신으로 철저히 탐지/차단하는 솔루션

  • 가상시스템과 함께 사용하여 우회하는 APT/악성코드를 탐지/차단
  • 가상머신의 의심파일을 리얼머신으로 전송하여 이중 분석 기능
  • 가상으로 실행해보는 SandBox와 달리 실제로 실행시키기 때문에 보다 철저한 탐지 가능
  • 악성코드의 공격으로 피해를 입은 경우 그 전 시점으로 원상복구
  • 사용자 PC 환경과 동일 한 Real machine 환경 구성 (라이선스 포함)
  • 사양 : Inspector 1000R (Real machine 10개 탑재), Inspector 2000R (Real machine 20개 탑재)

ZombieZERO Network Inspector 시스템 구성도

npcore

ZombieZERO Network Inspector 사양

ZombieZERO Network Inspector

Model Inspector 300 Inspector 500 Inspector 1000 Inspector 2000 Inspector 5000
Dectector + Analyzer Dectector + Analyzer Dectector + Analyzer Dectector Analyzer Dectector Analyzer
Traffic Coverage ~ 200Mb ~ 300Mb ~ 1Gb ~ 4Gb ~ 20Gb
Coverage of
‘EDR  for APT’
~ 300 User ~ 500 User ~ 1,000 User ~ 5,000 User ~ 10,000 User
malware/min 3 5 10 20 40
CPU Intel Xeon
Quad 3.1GHz
Intel Xeon
Quad 3.1GHz
Intel Xeon
Quad 3.4GHz
Intel Xeon
Quad 3.4GHz
Dual Intel Xeon
Hexa 2.1GHz
Dual Intel Xeon
Hexa 2.1GHz
Dual Intel Xeon
Hexa 2.1GHz
Memory DDR3 16GB DDR3 24GB DDR3 32GB DDR3 32GB DDR3 64GB DDR3 32GB DDR3 128GB
RAID SAS 512GB SAS 512GB SAS 512GB AS 512GB SAS 1TB SAS 512GB SAS 2TB
OS ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5 ESXi 5.5
Management
Interface
2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T
Network
Interface
4 x 1GbE Copper 4 x 1GbE Copper 4 x 1GbE Copper /
4 x 1GbE SFP
4 x 1GbE SFP
Accelerator
4 x 10GbE SFP
Accelerator
Power Single 500W Redundant 500W Redundant 500W Redundant 500W Redundant 500W Redundant 500W Redundant 500W
Dimension 2.5U 2.5U 2.5U 2.5U 2.5U 2.5U 2.5U
Virtual OS 3EA 5EA 10EA 20EA 40EA

ZombieZERO ESM

Model ESM 500 ESM 1000 ESM 2000 ESM 5000
EDR Coverage ~ 1,000 User ~ 2,000 User ~ 5,000 User ~ 10,000 User
CPU Intel Xeon 3.1GHz Intel Xeon 3.1GHz Intel Xeon 3.4GHz Intel Xeon 3.5GHz
Memory DDR3 8GB DDR3 16GB DDR3 16GB DDR3 32GB
HDD 500GB 500GB 1TB 1TB
OS Windows 2008 R2 Windows 2008 R2 Windows 2008 R2 Windows 2008 R2
Management
Interface
2 x 10/100
/1000Base-T
2 x 10/100
/1000Base-T
2×10/100
/1000Base-T
2×10/100
/1000Base-T