회사소개

제품

안내

고객지원

Company Overview

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

좀비제로 인스펙터 / ZombieZERO Inspector

샌드박스 기반의 가상시스템을 이용한
네트워크 APT 공격 탐지 솔루션

ZombieZERO Inspector

ZombieZERO Inspector 소개

ZombieZERO Inspector는 가상시스템을 이용한 네트워크기반 탐지시스템과 분석시스템으로 구성되어 있으며, 총 3단계의 시그니처 및 행위기반 분석을 통해
알려지지 않은 신·변종 악성코드를 탐지하여, 잠재된 내부 위협에 대한 사전 대응이 가능합니다

img

파일 유형별 분류

icon
1차분석
img압축해제
imgAV Engine
(Bitdefender)

Signature 기반 분석

icon
2차분석
img파일실행 모니터
(VM Access)
img정적 분석
(스크립트, 패킹 등)
img동적 분석
(행위 모니터)
img가상머신
img가상머신

( Windows XP ~ 10 지원)

40개 이상의 가상 머신 지원

icon
확인
img
(옵션)

VirusTotal API연동

icon
대응

img

차단 및 치료패턴 생성 / 배포

트래픽 분석 및 파일추출

트래픽 분석을 통한 유입 파일 수집

  • Web, FTP, SMTP, IMA, POP 등 파일 전송 관련 프로토콜을 통한 유입 파일 수집
  • 실행 및 압축파일, 문서파일 등 다양한 확장자를 가진 유입 파일을 수집 / 분석
3단계 악성코드
분석 시스템
npcore
1단계
Inspector의
시그니처 기반 분석
npcore
2단계
Inspector의
행위기반 분석
npcore
3단계
Agent의 엔드포인트
행위기반 분석
  • 시그니처 분석 및 행위기반 분석 동시 지원
  • 탐지된 악성코드 패턴생성을 통한 감염PC 치료기능 제공
행위기반 분석

가상시스템을 통한 행위기반 분석

  • Sandbox 기반의 가상시스템을 제공, 동적 분석 시스템과 정적 분석 시스템으로 구성된 가상
    시스템 적용
  • PE파일(DLL, EXE 등)과 압축파일, MS – Office, HWP, PDF 등 다양한 포맷 문서에 대한 분석 기능
    제공
  • 정적 분석 엔진(PE정적, 문서정적)을 이용한 소스코드 분석 및 스크립트 분석을 통해 소프트웨어
    취약점(인젝션, 웹 등)을 이용한 시도 가능한 공격 및 소스코드, 스크립트 포함 여부를 탐지, 상세
    정보 제공
  • 실행파일에서 가상엔진상에서의 동작을 탐지하는 부분을 제거하여 강제로 실행을 유도함으로써
    가상엔진 회피형 악성코드에 대해서도 탐지

ZombieZERO Inspector 특장점

C&C 서버 접근에 대한
이중탐지 / 차단
  • Outbound URL 및 URI 접근 패턴 분석을 통한 C&C 접속행위 탐지
  • 내부 사용자의 C&C 서버 접속 이중 탐지 차단 (DNS Sinkhle, TCP Reset)
  • 엔피코어 C&C 분석센터에서 보유한 C&C 서버 리스트와의 연동을 통해
    C&C 정보 라이브 업데이트 지원
유·출입되는 트래픽에
대해 지능형 분석을 통한
악성행위 탐지
  • 세션별 통합분석
  • 파일의 네트워크 행위(DNS, URL 등)에 대한 유해성 검사
  • 대형 트래픽 상황에서도 관련도 검색을 통한 ‘Bot net’ 통신 탐지
대용량 트래픽 분석
  • 작은 패킷 사이즈에서도 20Gbps의 빠른 패킷 수집 성능 제공
  • 자체 개발한 트래픽 처리 전용 멀티코어프로세스 SmartNIC을 장착시킨 임베디드 하드웨어
    플랫폼을 적용하여 대용량 트래픽에 대해서도 고성능 분석 제공

ZombieZERO Inspector 사양

ZombieZERO Inspector

Model Inspector 500 Inspector 1000 Inspector 2000 Inspector 5000
Dectector + Analyzer Dectector + Analyzer Dectector Analyzer Dectector Analyzer
Traffic Coverage ~ 300Mb ~ 1Gb ~ 4Gb ~ 20Gb
Agent Coverage ~ 500 User ~ 1,000 User ~ 5,000 User ~ 10,000 User
malware/min 5 10 20 40
CPU Intel Xeon
3.1GHz
Intel Xeon
3.4GHz
Intel Xeon
3.4GHz
Dual Intel Xeon
2.1GHz
Dual Intel Xeon
2.1GHz
Dual Intel Xeon
2.1GHz
Memory DDR3 24GB DDR3 32GB DDR3 32GB DDR3 64GB DDR3 32GB DDR3 128GB
RAID SAS 512GB SAS 512GB AS 512GB SAS 1TB SAS 512GB SAS 2TB
OS ESXi ESXi ESXi ESXi ESXi ESXi
Management
Interface
2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T 2 x 10/100/1000Base-T
Network
Interface
4 x 1GbE Copper 4 x 1GbE Copper /
4 x 1GbE SFP
4 x 1GbE SFP
Accelerator
4 x 10GbE SFP
Accelerator
Virtual OS 5EA 10EA 20EA 40EA

ZombieZERO ESM

Model ESM 500 ESM 1000 ESM 2000 ESM 5000
Coverage ~ 1,000 User ~ 2,000 User ~ 5,000 User ~ 10,000 User
CPU Intel Xeon 3.1GHz Intel Xeon 3.1GHz Intel Xeon 3.4GHz Intel Xeon 3.5GHz
Memory DDR3 8GB DDR3 16GB DDR3 16GB DDR3 32GB
HDD 500GB 500GB 1TB 1TB
OS Windows 2008 R2 Windows 2008 R2 Windows 2008 R2 Windows 2008 R2
Management
Interface
2 x 10/100
/1000Base-T
2 x 10/100
/1000Base-T
2×10/100
/1000Base-T
2×10/100
/1000Base-T