• 화. 1월 26th, 2021

기반이 되는 운영체제 자체

Avatar

Byadmin

8월 24, 2020

보안 소프트웨어의 기반이 되는 운영체제 자체에도 많은 미지의 취약점들이 상존하고 있으며, 이로 인해 최악의 경우 랜섬웨어 공격이 성공하여 보호 대상 파일 들이 침해될 수 있다[8]. 이와 같은 최악의 상황에 대응 하기 위해 백업이 필요하나 기존의 유저 레벨에서의 백 업은 백업 파일 자체도 랜섬웨어 공격의 대상이 되기 때문에 본 연구에서는 유저 레벨에서 접근이 불가능한 커널 레벨 보안 스토리지 영역에 백업 해두어, 최악의 경우라도 커널 레벨 보안 스토리지 영역에 보관되어 있 는 백업 데이터를 기반으로 사후 복구가 가능하게 함으 로써 기존 유저 레벨 백업 보다 더욱 완벽한 복구가 가 능하게 한다 Ⅲ장에서 제시한 랜섬웨어 대응 기법을 기반으로 미 지의 랜섬웨어 공격의 실시간 예방 및 사후 복구 보안 을 위한 보안 시스템을 개발하였다.

그림 7은 시스템의 전체 개요이다. 기본적으로 응용프로그램 계층의 일반 사용자 프로 그램들로부터 운영체제 계층으로 전달되는 시스템 서비 스 요청을 커널 보안 서비스 모듈이 중간에 가로채어 통제하는 구조이며, 이때 사용자별로 정의한 보안 정책 은 사용자 레벨 에이전트를 통해 커널 보안 서비스 모 듈로 전달되어 세팅된다. 개발된 커널 보안 서비스는 그림과 같이 총 5가지이다 그림 8에서 보는 바와 같이 사용자 시스템의 운영체 제와 어플리케이션에 포함된 모든 실행 이미지들의 해 시 값을 계산하여 이 값들을 리프 노드로 하는 이진트리 를 구성한 후 최상위 루트 노드에 공개키 서명하는 방식 으로 서명을 부여한다.

대량의 데이터를 묶어서 동시에 서명함으로써 서명의 생성과 검증과정을 고속화할 수 있다 런데 운영체제와 어플리케이션에 포함된 실행 이미 지들의 개수는 수만 개가 넘고, 이들을 대상으로 해시 값 을 계산을 하고 이진트리 구성을 해야 하는 전자서명 생 성 작업은 시간이 매우 많이 소요될 수밖에 없다. 더구나 실제 기업 환경에서는 신규 사용자 어플리케이션 도입이 나 업데이트 등으로 인해 서명 생성 작업을 비교적 빈번 히 수행해야 하므로 실용성을 고려했을 때 서명 생성 작 업을 보다 고속화할 필요가 있다 하드웨어 가속 기능 기반의 고속 서명 생성 및 검증 위한 API를 개발하여 모듈화 하였다. 커널 레벨 파일 실행 제어는 디스크상의 실행 이미지의 실행 요청에 대해 커널 레벨에서 실행 여부를 제어하는 해시 트리를 이용하여 실행 이미지의 서명 값을 실시 간으로 검증하는 것으로써 검증 값이 맞으면 실행이 허 가되고 아니면 차단된다.

실행 파일의 경우 윈도 커널의 프로세스 생성 콜백을 사용하여 실행 파일의 이미지 엔트리가 실행되기 전에 실 행 파일에 대한 실행 권한에 따라 실행을 제어하며, 동적 라이브러리의 경우 윈도 커널의 프로세스 이미지 로드 콜 백을 사용하여, 동적 라이브러리의 로드 과정에서 동적 라 이브러리 엔트리가 실행되기 전에, 동적 라이브러리에 대 한 실행 권한에 따라 실행을 제어한다. 이와 같이 커널 레 벨에서 파일 시스템 필터를 이용하여 실행 이미지가 실행 되기 전에 실행허가 여부가 결정 되므로, 전자서명이 부여 되어 있지 않은 모든 실행 이미지의 실행은 불가능하게 되어 랜섬웨어 등의 악성 소프트웨어의 공격이 차단되는 것이다.

출처 : 토토사이트 ( https://facehub.ai/ )

답글 남기기