2014년 12월 12일 금요일

CIS의 Autosandbox Rule 과 Alternate data streams (ADS) 관계

파일 열기 보안 경고 - Alternate data streams (ADS)란?
http://snoopybox.co.kr/1552

인터넷 익스플로러가(다른 웹 브라우저도 마찬가지) 파일을 다운로드 받을 때 아주 작은 크기의 ADS를 남긴다는 것입니다. 그리고 윈도우 로컬 쉘(explorer.exe)이 ADS를 체크하고 경고창을 띄우는 것이죠.

인터넷에서 다운로드 받는 파일은 각각에 대해 NTFS의 MFT 영역에 Zone.Identifier 라는 ADS가 생성됩니다. 그리고 여기에는 보통 ZoneId=3 이라는 값이 들어가게 되는데 여기서 3은 일반적인 인터넷 사이트를 말합니다.

ZoneId란 1 - 로컬 인트라넷 2 - 신뢰할 수 있는 사이트 3 - 인터넷 4 - 제한된 사이트

! 위 내용은 스누피님에 블로그에서 가져왔습니다. 자세한 내용은 위 블로그에서 확안하십시오.

Stream Explorer (ADS 파일 분석)
http://www.rekenwonder.com/streamexplorer.htm

Stream Armor (ADS 파일 검색)
http://securityxploded.com/streamarmor.php

Alternate Data Streams in NTFS (MS 블로그 제공, 영문)
http://blogs.technet.com/b/askcore/archive/2013/03/24/alternate-data-streams-in-ntfs.aspx

Alternate data streams (ADS) 는 Internet Security Config의 기본 설정중 Autosandbox에 등록된 아래의 룰과 관련이 있습니다.


즉 CIS는 ADS가 기록된 파일을 실행시 Unrecognized Files 라면 Virtually 상태로 실행을 시킵니다.

COMODO Internet Security 8 도움말 관련 링크모음

COMODO Internet Security 8 도움말
http://4savit.blogspot.kr/2014/11/comodo-internet-security-8_18.html

CIS의 Defense+ 과 File Rating에 파일 처리 이해도 (CIS 8 버전)
http://4savit.blogspot.kr/2014/11/cis-defense-file-rating-cis-8.html

COMODO Internet Security (CIS)의 Autosandbox Rule 와 File Groups 이해
http://4savit.blogspot.kr/2014/12/autosandbox-rule-file-groups.html

COMODO Internet Security (CIS)의 Sandbox와 시스템 보호 (HIPS / Protected Obejcts)
http://4savit.blogspot.kr/2014/12/comodo-internet-security-cis-sandbox.html

CIS의 Website Filtering 기능에 URL 추가하는 방법
http://4savit.blogspot.kr/2014/12/cis-website-filtering-url.html

COMODO Internet Security (CIS)의 Autosandbox Rule 와 File Groups 이해


* File Groups

HIPS/ Groups 의 Registry Groups, COM Groups과 함께 있었던 File Groups은 File Rating 하위 메뉴로 이동되었습니다.

그 이유는 CIS 8 부터서는 File Groups에 활용도가 높아졌습니다. 특히 Autosandbox에서 Rule안의 Target 선택시 또는 그 외 다양한 Rule에서 File Groups에 사용자가 직접 등록한 후 Rule 적용 대상을 선택할수 있습니다.


즉, File Groups에 등록된 Group은 사용자가 편집이 가능합니다. File Groups을 이용해 Rule에 적용할 대상을 관리할수 있습니다.

직접 사용해보면 그 용도를 알수 있을것입니다.



예를들어 "Run Virtual" files extracted from archives downloaded from Internet 은 File Groups에 압축프로그램 파일(File Archives) 그룹이 추가되었으며 Autosandbox 룰에도 해당 그룹이 Source에 추가 되어 압축프로그램에 의해 해제된(생성된) 파일들중 Unrecognized Files (알려지지 않는 파일)은 Run Virtually (Full Virtuallized) 환경에서 실행이 됩니다.

위의 파일 압축 (File Archives)그룹에 사용중인 파일압축 프로그램이 등록이 되어있지 않다면 사용자가 수동으로 File Archives 그룹에 해당 프로그램 경로를 등록해 주면 위의 롤에 자동으로 적용이 됩니다.

! TotalCommander을 통해 압축파일을 관리하는 사용자는 TotalCommander 프로그램 경로를 등록해 주면 됩니다.


* Auto-sandbox (기존에 Behavior Blocker의 차기 버전입니다.)

모든 파일에 실행 여부를 Autosandbox에서 관리할수 있습니다.


Autosandbox에 기본적으로 등록된 Rule들에 대해 알아보겠습니다.

CIS 설치시 적용되는 'COMODO - Interent (Firewall) Security' 설정 선택시 아래와 같습니다.

주의할 점은 CIS가 설치된 운영체제는 Clean(깨끗함) 상태임을 전제하에 기존에 파일은 Unknown 상태더라도 제어를 하지 않으며 (단. 악성코드나 특정 장소에 존재하는 파일은 실행을 막습(Block)니다), 새로이 생성되는 파일(웹브라우저를 통한 다운로드 파일등)들을 Autosandbox룰에 의해 Virtually 상태로 실행합니다.


COMODO - Proactive Security 설정 선택시 아래와 같습니다.

Behavior Blocker의 제어 방식과 비슷하며 악성코드 또는 특정 장소에 존재하는 파일은 실행을 막으(Block)며 기존의 파일과 더불어 존재하는 모든 파일중 Unrecognized 파일은 Virtually 상태로 실행이 됩니다.




AutoSandbox에 Rule은 다음과 같은 메뉴로 구성되어 있습니다.



Action은 처리 방식입니다. Run Virtually(완전 가상화), Restricted(운영체제 소스를 사용하는 범위를 제한), Block(차단), Ignore(무시,제한하지 않음)

Restriced = Partially Limited < Limited < Restriced < Untrusted
'<'는 제한 강도이며 Partially Limited는 Restriced에서 가장 개방된 환경입니다.


Target은 제어하는 대상입니다.

Source는 Target중 다음 조건에서 생성된 파일로 Target에 범위를 제한합니다.

Created By는 어떤 Process에 의해 생성되었는지를 구분합니다. 예를 들어 웹브라우저에 의해 생성된 파일만을 Target에 범위를 제한할수 있습니다.

Location은 Target중 위치한 장소를 구분합니다. Any (모든 저장 장소), Local Drive (HDD등 저장 장소), Removable Drive (USB 메모리등), Network Drive (네트워크 드라이브)로 구분집니다.

Origin은 네트워크 경로(내,외부 네트워크 구분)를 구분합니다. Any는 모든 네트워크를 말하며 Internet은 외부전산망을 말하며 (예를들어 우리가 일상으로 사용하는 웹서핑등), Intranet은 내부 전산망을 말합니다.

Reputation은 파일 평판을 말합니다. 파일 평판은 Antivirus DB 또는 Rating 검사를 통해 이루어 집니다. 체크 해제는 평판을 무시함을 말합니다.
Trusted (신뢰된 파일), Unrecognized (COMODO에 의해 결정되지 않는 파일 = Unknown File), Malware (악성코드)




Option은 Action 메뉴 선택하에 따라 설정 내용이 변경됩니다.

'Run Virtually' action 선택시 아래와 같이 보입니다.

Log When this action is performed - 해당 Target 실행시 CIS 로그에 기록

'Run Restriced' action 선택시 아래의 메뉴중 'Set Restriction Level'에 체크가 되어 해당 메뉴를 사용할수 있습니다.



Ignore action 을 선택시 - 'Dont apply the selected action to child process'은 Ignore (실제 환경)로 실행이 된 프로그램이 생성하는 프로세스에도 Ignore라는 action을 적용할지 여부를 묻습니다.

기본 설정은 Ignore 적용을 의미하며, 해당 설정 체크시 프로그램이 생성한 프로세스는 Ignore action이 적용이 되지않으며 Autosandbox에 등록된 다른 Rule에 의해 적용이 됩니다.


===================================================================================

그럼 등록된 Web Browsers를 예로 들어 설명해 보겠습니다.

 


Web Browsers는 모든 네트워크(Origin - Any)를 통해 저장된 파일들중 저장 장소(Local, Network Drive, Removable Drive)에 상관없이 (Lcation - Any) Web Browsers에 의해 생성된(Created by) 모든 파일들중 평판이 알려지지 않는 파일들이면 (Reputation - Unrecognized) 가상화(Action - Run Virtually) 환경에서 실행을 합니다.




위의 Rule을 설명해 보겠습니다.

Internet (Origin - Internet)을 통해 모든 저장장소(Location - Any)에 모든 프로그램에 의해 생성된 파일 (Created by - *),
! Alternate data streams (ADS) 이 기록된 파일 - http://snoopybox.co.kr/1552


모든 네트워크를 (Origin - Any) 통해 Network Dirve (Location - Network Drive)에 모든 프로그램에 의해(Created by - *) 생성된 파일

모든 네트워크(Origin - Any)를 통해 외장형 이동식 장치(Removable Drive)에 모든 프로그램에 의해 (Created by - *) 생성된 파일

그 중 평판(Reputation)이 Unrecognized 인 Applications (Target)은 Run Virtually (Action) 로 실행을 시킵니다.


평판이 Malware (악성코드)인 모든 Applications은 차단(Block)합니다.


Action을 Block 선택시 - 옵션에는 'Log when this action is performed' 해당 Action이 실행시 로그에 기록하며 'Quarantine program' 해당 프로그램을 Quarantine(보관소)로 보냅니다.



Suspicious Locations (휴지통)에 존재하는 모든 평판에 파일들은 실행을 차단합니다.

이러한 Target 들은 File groups에 기본적으로 등록이 되어있어 사용자는 쉽게 선택할수 있습니다.


Shared Spaces에 존재하는 Unrecognized 파일들은 Virtaully로 상태로 실행합니다.

Shared Spaces는 File Groups에 등록되어 있으며 C:\ProgramData\Shared Space 폴더와 사용자 다운로드 폴더를 의미합니다.



! Proactive 기본 Rule을 생성하고 싶다면 Run Virtually, All Applications, Unrecognized reputaion 만 선택하여 Rule을 생성하면 됩니다.

COMODO Internet Security 8.0.0.4344 is released!

CIS 6.7 사용자는 자동업데이트를 통해 설치가 가능합니다.

CIS 8.0.4337에서의 변경점은 File Groups에 File Archives 그룹이 추가되었으며, Autosandbox Rule에 따라 압축을 해제할시 생성되는 파일들중 Unrecognized Files은 Virtually 상태로 실행이 됩니다.

============================================================================

Existing CIS 6.x and CIS 7.0 users will receive an offer for CIS 8.0 update in this release.

What's new in 8.0.0.4344?

New

New file group "File Archivers"
  • Accessible in ASE -> File Rating -> File Group

Updated Auto-Sandbox rule to sandbox
  • "Run Virtual" files extracted from archives downloaded from Internet

Fixed
Several critical bugs fixes. Here are a selected few
  • New Dragon 36.1.1 crashes if CIS installed
  • Accidental crash of cmdAgent service
  • Modification to trusted files were not detected on time
  • VT_ROOT is not deleted during Sandbox Reset after launch some malware

Download Location

Comodo Internet Security

http://download.comodo.com/cis/download/installs/4000/standalone/cispremium_installer.exe
Size: 216M ( 226075384 )
MD5: 9bb42331a34825bcd9a15f853f91204b
SHA1: b857464c1616ce4c3482d55e7427aa453e9dfd50

Comodo Antivirus

http://download.comodo.com/cis/download/installs/4000/standalone/cav_installer.exe
Size: 216M ( 226075376 )
MD5: d7f6f1a17283c8b5bd0d9870d7a85a70
SHA1: 5e1ec2d3864e246f6db174eb4945f5c6b56a28da

Comodo Firewall

http://download.comodo.com/cis/download/installs/4000/standalone/cfw_installer.exe
Size: 216M ( 226075376 )
MD5: 6a1054c2f7b89fa2af4aa4f8f337b32c
SHA1: 43fd72f87a1cbdd3ace89918772e8d8d702f1239
« Last Edit: Today at 07:41:21 AM by Sergey Kazakov »

2014년 12월 10일 수요일

CIS의 Website Filtering 기능에 URL 추가하는 방법

COMODO Website Filtering 도움말 (영문) - https://help.comodo.com/topic-72-1-623-7759-Defining-and-Modifying-Website-Categories.html


Website Filtering의 카테고리(Categorys)에 URL(웹주소) 추가시 주의할점이 있습니다.

1. naver.com을 차단할시 www.naver.com으로 등록을 해야 차단이 됩니다. 즉 전체주소를 입력해야합니다. (www를 왜 입력해야 하나요 라고 물어본다면 www 규칙을 만든 개발자에게 물어보십시오. ^^;;;)


2. "*" 은 'All=모두'을 의미하는 Wildcard 문자입니다.
*naver.com 은 naver.com 앞부분에 있는 모든 주소를 차단합니다. 예) se.naver.com
naver* 은 naver가 들어가며 뒷부분에 있는 모든 주소를 차단합니다. 예) naver.com/sdfsfsdfsdfsdsfs
*naver* 은 naver가 들어가는 모든 주소를 차단합니다. 예) se.naver.com, naver.com/sdfsfsdfsdfsdsfs

COMODO Internet Security (CIS)의 Sandbox와 시스템 보호 (HIPS / Protected Obejcts)

Wikipedia 에서는 Sandbox를 "샌드박스(sandbox)란, 외부로부터 들어온 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태이다." 라고 정의하고 있습니다.


CIS에 Autosandbox는 파일을 어떤 환경(Real,Block,Restricted,Virtually) 에서 실행할지 여부를 미리 설정하는 곳입니다.

* Autosandbox 이전의 기능이었던 Behavior Blocker는 Unknown Files에 대해서만 일괄적으로 한가지 실행 환경을 설정할수 있었으나, Autosandbox는 모든 파일(Trusted Files 포함)에 대해서 제각각 실행(여부) 환경을 미리 설정할수 있습니다.

Sandbox = Restriced (Partially Limited ~ Untrusted) + VIrtually (Full Virtuallized)

Restriced는 프로세스의 시스템 자원 사용 범위를 제한하며, HIPS 감시 기능에 의해 시스템 접근 및 Protected Object 에 존재하는 대상들을 보호합니다.


Protected Objects 보호라는 의미는 File,Registry,COM은 읽기는 허락 하지만 쓰기는 사용자에게 경고창을 보여줍니다. Blocked FIles는 모든 프로세스로 부터 접근을 차단, Protected Data Folders는 Sandboxed 프로세스로부터 모든 접근을 차단합니다.

* Protected Data Folders는 HIPS 기능의 활성화에 상관없이 보호됩니다.

VIrtually (Full Virtuallized)는 Restricted와 다르게 완전히 가상 환경을 구성하여 Sandboxed Process가 실제 환경에 접근하여 변경(쓰기)하려는 행위를 전부 차단합니다.

현재 Autosandbox 기본 설정 룰에 의해 실행되는 Sandboxed 프로세스는 VIrtually (Full Virtuallized) 환경에서 실행이 되기에 HIPS 경고창이 기본적으로 보이지 않습니다.


Sandboxed (Full Virtuallized) 프로세스가 Sandbox 밖으로 실행하여 제한없는 접근을 시도할시 다음과 같은 경고창을 Sandbox는 보여줍니다.