누리랩(Nurilab) - 미노스(MINOSS)

더욱 정교해지고,
점점 더 증가되는 사이버 위협

샌드박스(sandbox) 우회기술 증가

샌드박스를 우회하는 기술이 증가됨에 따라 샌드박스만으로는 지능화된 위협에 대응하는데 한계를 나타내고 있습니다.

문서기반의 사이버위협 증가

EXE와 같은 실행파일이 아니라 문서안에 악성코드를 숨기는 문서기반의 악성코드가 증가하는 추세입니다.

MINOSS 개요

제품명

MINOSS V2.0

인증

GS 1등급 [20-0362]

개요

특정 형식 파일을 대상으로 분석 DB를 이용하여 악성 파일 여부를 분석하는 솔루션

MINOSS 특장점

IDA 기반의 함수 코드블럭 정보 생성기능 지원

악성코드 샘플에 대한 함수 단위 코드블럭 정보생성
악성코드 분석도구인 IDA에서 생성된 IDB를 이용하여 코드블럭 생성
재명명한 함수명을 반영하여 구현
생성된 코드블럭 정보는 샘플 및 사고정보를 연계할 수 있도록 구성
※ IDA는 침해사고 분석단에서 활용중인 소프트웨어로 해당 소프트웨어 지원 필요

함수 코드블럭 정보 분석 기능 지원

(1:1) : 1:1 비교를 구현하며 비교 결과는 유사도 퍼센트 등을 표시
(1:N) : 생성된 코드블럭과 전체 함수 코드블럭 비교를 통해 샘플 및 사고 탐색
(N:N) 업로드된 샘플의 전체함수 코드블럭과 저장된 코드블럭 정보 전체와의 비교 및 탐색
악성코드의 코드블럭 정보 어셈블리 언어수준으로 비교 기능 지원

정보 추출 기능

파일내 일반 문자열, http 주소 등 문자열 추출정보 제공
압축 파일 내부 악성코드 추적 기능
(ALZ, EGG, ZIP, CAB, RAR, TAR 등)

태그를 이용한 악성코드 검색 기능

DB에 등록된 연관정보와 유사한 정보를 순위별 검색

MS-Office 파일 정적 분석 기능

워드(doc/docx), 엑셀(xls/xlsx), 파워포인트(ppt/pptx) 메타 정보 및 본문 정보 출력
문서파일내에 첨부된 매크로 소스 보기 지원

실행(PE) 파일 정적 분석 정보 제공

실행(PE) 파일 메타 정보 출력 및 추적 기능
Import/Export API, 섹션 정보, 디지털 서명 정보 제공
PE 파일 디스어셈블 보기 기능

HWP 파일 정적 분석 기능

문서 내부 OLE 파일 구조(Storage, Stream 등) 분석
압축된 한글 OLE stream에 대한 압축 해제 지원
한글 문서 본문, 이미지, 내부 스크팁트 Viewer 기능
한글 3.x/5.x 포맷 문서에 대한 취약점 정보 확인
문서 메타 정보 출력 및 추적 기능 지원

파일 정보 출력 및 검색 유형 지원

유사 악성코드, 해시값(MD5, SHA1, SHA256), 태그정보 등
코드내 블록 별 HASH 정보를 확인하여 코드의 무결성 확보
코드 및 파일의 상세정보 확인
PE 파일의 경우는 함수 단위로 유사도 측정 결과 확인

인공지능을 이용한 악성코드 탐지

VDCNN 알고리즘을 이용하여 함수 OPCode에 대해 악성/정상 여부 학습
(윈도우 실행 파일, 리눅스 실행 파일에 대해 적용)
LIME를 이용하여 악성 OPCode 위치 제공
지속적인 학습 결과물 적용

미노스의 컨셉

범죄발생 시 범인이 외양은 바꿀수 있어도 DNA는 바꾸지 못하는것처럼 사이버 위협도 고유의 DNA를 가지고 있습니다. 미노스는 사이버 위협의 DNA를 분석하고 학습하여 사전 예방하는 기술입니다.

미노스의 핵심 경쟁력

1) 많은 양의 데이터를 수집 (국내, 국외 일일 20만건이상)
2) 데이터 분류 기술 및 DB 구축(다년간의 R&D와 프로젝트 수행경험)
3) 빠르게 유사도를 분석하여 차단하는 기술 (특허)

유사도 분석 기술

대부분의 신·변종 악성코드는 과거 만들어진 소스코드를 살짝 수정하는 정도.
코드의 유사도를 측정하면 신 · 변종 악성코드를 쉽게 판별해 낼 수 있음

2번 블록의 정보가 조금이라도 다르면 해시값은 2번 블록만 바뀜.
즉, 10개 블록 중 1개의 블록만 다르다면 90% 유사도가 일치함

빠른 유사도 검사

DB의 모든 해시를 비교해봐야 제일 유사한 해시를 찾을 수 있어요. 하지만, 저희는 방법을 찾았습니다.

특정 파일이 DB에 존재하는 파일과 얼마나 유사한지 빠르게 측정하는 방법을 고안

역 색인 구성방법, 역 색인 을 이용한 유사 데이터 검색 방법 및 장치
[특허 제 10-2081867호]

리버싱 기술을 이용한 악성코드 분석도구

악성코드 분석가를 위하여 미노스 웹(Web)을 통한 악성코드 분석정보를 제공하고, IDA Pro와 연동(플러그인)하여 함수 유사도 비교를 통한 악성코드에 사용된 함수정보를 제공합니다.

※ 리버싱 기술은 악성 프로그램의 구조와 핵심 알고리즘을 분석하고 이를 대처하기 위한 방안을 고안하는데 사용합니다.

미노스에서 파생된 기술과 제품들

컨텐츠 무해화 (CDR)

Lupe 바로가기 →

문서 기반 공격 대응, Non-pe 파일 위·변조 탐지 및 무결성 검증
컨텐츠 무해화 (CDR: Contents Disarm & Reconstruction)

사회공학을 이용한 사기메일 차단

NESS (Nurilab Email Security Suite) 바로가기 →

유사 도메인 탐지, 사칭 메일 등 사회공학기법을 이용한 메일 탐지 및 차단

문서 내 텍스트 추출 및 검색, 손상파일 복구

Nuri Document Filter 바로가기 →

NDFinder Pro 바로가기 →

국내외에서 사용되는 다양한 문서 포맷 지원
개인정보, 내부문서 유출방지, 검색엔진에 활용

바이러스, 랜섬웨어 차단, 윈도우 파일시스템 드라이버

KICOM AV 바로가기 →

Anti-Ransom 바로가기 →

File Filter Driver 바로가기 →

오픈 소스 백신엔진 Kicom 개발 및 배포
랜섬웨어 행위 차단 및 방어, 복원
Windows 파일 및 폴더 추적, 감사, 보고, 모니터링

아래아 한글 취약점 점검

HWPScan2 바로가기 →

리버싱 기술을 이용하여 한글문서의 구조 파악
한글 문서에 포함된 취약점 탐지

AI 학습 기반 유해 이미지/키워드 분석

AI Image/Keyword Filter

이미지/키워드 프로세싱 기술
커뮤니티, BBS 욕설 및 비속어, 금칙어 우회 키워드 유해도 판별

미노스기술

제품

서비스

교육

회사

리소스

리버싱

안티바이러스

악성URL/APK분석

비대면솔루션

파트너솔루션

서비스

교육

회사

리소스

빅데이터악성코드 분석 대응 솔루션

MINOSS 가 KISA 주관2021년 우수 정보보호 기술로 선정되었습니다.

더욱 정교해지고,점점 더 증가되는 사이버 위협