2014년 12월 12일 금요일

COMODO Internet Security (CIS)의 Autosandbox Rule 와 File Groups 이해


* File Groups

HIPS/ Groups 의 Registry Groups, COM Groups과 함께 있었던 File Groups은 File Rating 하위 메뉴로 이동되었습니다.

그 이유는 CIS 8 부터서는 File Groups에 활용도가 높아졌습니다. 특히 Autosandbox에서 Rule안의 Target 선택시 또는 그 외 다양한 Rule에서 File Groups에 사용자가 직접 등록한 후 Rule 적용 대상을 선택할수 있습니다.


즉, File Groups에 등록된 Group은 사용자가 편집이 가능합니다. File Groups을 이용해 Rule에 적용할 대상을 관리할수 있습니다.

직접 사용해보면 그 용도를 알수 있을것입니다.



예를들어 "Run Virtual" files extracted from archives downloaded from Internet 은 File Groups에 압축프로그램 파일(File Archives) 그룹이 추가되었으며 Autosandbox 룰에도 해당 그룹이 Source에 추가 되어 압축프로그램에 의해 해제된(생성된) 파일들중 Unrecognized Files (알려지지 않는 파일)은 Run Virtually (Full Virtuallized) 환경에서 실행이 됩니다.

위의 파일 압축 (File Archives)그룹에 사용중인 파일압축 프로그램이 등록이 되어있지 않다면 사용자가 수동으로 File Archives 그룹에 해당 프로그램 경로를 등록해 주면 위의 롤에 자동으로 적용이 됩니다.

! TotalCommander을 통해 압축파일을 관리하는 사용자는 TotalCommander 프로그램 경로를 등록해 주면 됩니다.


* Auto-sandbox (기존에 Behavior Blocker의 차기 버전입니다.)

모든 파일에 실행 여부를 Autosandbox에서 관리할수 있습니다.


Autosandbox에 기본적으로 등록된 Rule들에 대해 알아보겠습니다.

CIS 설치시 적용되는 'COMODO - Interent (Firewall) Security' 설정 선택시 아래와 같습니다.

주의할 점은 CIS가 설치된 운영체제는 Clean(깨끗함) 상태임을 전제하에 기존에 파일은 Unknown 상태더라도 제어를 하지 않으며 (단. 악성코드나 특정 장소에 존재하는 파일은 실행을 막습(Block)니다), 새로이 생성되는 파일(웹브라우저를 통한 다운로드 파일등)들을 Autosandbox룰에 의해 Virtually 상태로 실행합니다.


COMODO - Proactive Security 설정 선택시 아래와 같습니다.

Behavior Blocker의 제어 방식과 비슷하며 악성코드 또는 특정 장소에 존재하는 파일은 실행을 막으(Block)며 기존의 파일과 더불어 존재하는 모든 파일중 Unrecognized 파일은 Virtually 상태로 실행이 됩니다.




AutoSandbox에 Rule은 다음과 같은 메뉴로 구성되어 있습니다.



Action은 처리 방식입니다. Run Virtually(완전 가상화), Restricted(운영체제 소스를 사용하는 범위를 제한), Block(차단), Ignore(무시,제한하지 않음)

Restriced = Partially Limited < Limited < Restriced < Untrusted
'<'는 제한 강도이며 Partially Limited는 Restriced에서 가장 개방된 환경입니다.


Target은 제어하는 대상입니다.

Source는 Target중 다음 조건에서 생성된 파일로 Target에 범위를 제한합니다.

Created By는 어떤 Process에 의해 생성되었는지를 구분합니다. 예를 들어 웹브라우저에 의해 생성된 파일만을 Target에 범위를 제한할수 있습니다.

Location은 Target중 위치한 장소를 구분합니다. Any (모든 저장 장소), Local Drive (HDD등 저장 장소), Removable Drive (USB 메모리등), Network Drive (네트워크 드라이브)로 구분집니다.

Origin은 네트워크 경로(내,외부 네트워크 구분)를 구분합니다. Any는 모든 네트워크를 말하며 Internet은 외부전산망을 말하며 (예를들어 우리가 일상으로 사용하는 웹서핑등), Intranet은 내부 전산망을 말합니다.

Reputation은 파일 평판을 말합니다. 파일 평판은 Antivirus DB 또는 Rating 검사를 통해 이루어 집니다. 체크 해제는 평판을 무시함을 말합니다.
Trusted (신뢰된 파일), Unrecognized (COMODO에 의해 결정되지 않는 파일 = Unknown File), Malware (악성코드)




Option은 Action 메뉴 선택하에 따라 설정 내용이 변경됩니다.

'Run Virtually' action 선택시 아래와 같이 보입니다.

Log When this action is performed - 해당 Target 실행시 CIS 로그에 기록

'Run Restriced' action 선택시 아래의 메뉴중 'Set Restriction Level'에 체크가 되어 해당 메뉴를 사용할수 있습니다.



Ignore action 을 선택시 - 'Dont apply the selected action to child process'은 Ignore (실제 환경)로 실행이 된 프로그램이 생성하는 프로세스에도 Ignore라는 action을 적용할지 여부를 묻습니다.

기본 설정은 Ignore 적용을 의미하며, 해당 설정 체크시 프로그램이 생성한 프로세스는 Ignore action이 적용이 되지않으며 Autosandbox에 등록된 다른 Rule에 의해 적용이 됩니다.


===================================================================================

그럼 등록된 Web Browsers를 예로 들어 설명해 보겠습니다.

 


Web Browsers는 모든 네트워크(Origin - Any)를 통해 저장된 파일들중 저장 장소(Local, Network Drive, Removable Drive)에 상관없이 (Lcation - Any) Web Browsers에 의해 생성된(Created by) 모든 파일들중 평판이 알려지지 않는 파일들이면 (Reputation - Unrecognized) 가상화(Action - Run Virtually) 환경에서 실행을 합니다.




위의 Rule을 설명해 보겠습니다.

Internet (Origin - Internet)을 통해 모든 저장장소(Location - Any)에 모든 프로그램에 의해 생성된 파일 (Created by - *),
! Alternate data streams (ADS) 이 기록된 파일 - http://snoopybox.co.kr/1552


모든 네트워크를 (Origin - Any) 통해 Network Dirve (Location - Network Drive)에 모든 프로그램에 의해(Created by - *) 생성된 파일

모든 네트워크(Origin - Any)를 통해 외장형 이동식 장치(Removable Drive)에 모든 프로그램에 의해 (Created by - *) 생성된 파일

그 중 평판(Reputation)이 Unrecognized 인 Applications (Target)은 Run Virtually (Action) 로 실행을 시킵니다.


평판이 Malware (악성코드)인 모든 Applications은 차단(Block)합니다.


Action을 Block 선택시 - 옵션에는 'Log when this action is performed' 해당 Action이 실행시 로그에 기록하며 'Quarantine program' 해당 프로그램을 Quarantine(보관소)로 보냅니다.



Suspicious Locations (휴지통)에 존재하는 모든 평판에 파일들은 실행을 차단합니다.

이러한 Target 들은 File groups에 기본적으로 등록이 되어있어 사용자는 쉽게 선택할수 있습니다.


Shared Spaces에 존재하는 Unrecognized 파일들은 Virtaully로 상태로 실행합니다.

Shared Spaces는 File Groups에 등록되어 있으며 C:\ProgramData\Shared Space 폴더와 사용자 다운로드 폴더를 의미합니다.



! Proactive 기본 Rule을 생성하고 싶다면 Run Virtually, All Applications, Unrecognized reputaion 만 선택하여 Rule을 생성하면 됩니다.

댓글 없음:

댓글 쓰기