ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Sandbox and VM based malware defense
      Computer/Network 2010. 5. 10. 11:35
      FireEye Webinar  "Breaking the Modern Malware Infection Lifecycle – A FireEye Executive Perspective"를 들었다.

      기존 방식의 문제점으로
      1. IDS, AV의 SIgnature 방식 : 공격 특징이 targetted, stealthy, dynamic하기 때문에 빠져나감.
      2. URL filtering이나 reputation 시스템 : dynamic domain name, embedded content, comprimised legitimate web site 때문에 회피 가능
      3. Heuristic, Correlation, Basic Emulation : targetted attack, 0-day attack 때문에 어려움.

      그래서
      VM 방식을 만들었다고 하는데.
      기존 Sandbox가 실행 파일을 sandbox에서 돌리면서 특징 찾아내는 것이라면
      VM 방식이라는 것은 웹 페이지 실행(?)하면서 특징 찾아내는 것이라는 것이다.
      그래서 예를 든 것이 javascript obfuscation 된 페이지를 VM에서 돌려서 실제 페이지 찾아 탐지한다는 것이다.

      이름이 VM이긴 한데 일반적으로 생각하는 VM이라기보다는 개념상 Sandbox에 가까운 것 같다.

      저작자표시 비영리 동일조건

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바