2014년 12월 12일 금요일

CIS의 Autosandbox Rule 과 Alternate data streams (ADS) 관계

파일 열기 보안 경고 - Alternate data streams (ADS)란?
http://snoopybox.co.kr/1552

인터넷 익스플로러가(다른 웹 브라우저도 마찬가지) 파일을 다운로드 받을 때 아주 작은 크기의 ADS를 남긴다는 것입니다. 그리고 윈도우 로컬 쉘(explorer.exe)이 ADS를 체크하고 경고창을 띄우는 것이죠.

인터넷에서 다운로드 받는 파일은 각각에 대해 NTFS의 MFT 영역에 Zone.Identifier 라는 ADS가 생성됩니다. 그리고 여기에는 보통 ZoneId=3 이라는 값이 들어가게 되는데 여기서 3은 일반적인 인터넷 사이트를 말합니다.

ZoneId란 1 - 로컬 인트라넷 2 - 신뢰할 수 있는 사이트 3 - 인터넷 4 - 제한된 사이트

! 위 내용은 스누피님에 블로그에서 가져왔습니다. 자세한 내용은 위 블로그에서 확안하십시오.

Stream Explorer (ADS 파일 분석)
http://www.rekenwonder.com/streamexplorer.htm

Stream Armor (ADS 파일 검색)
http://securityxploded.com/streamarmor.php

Alternate Data Streams in NTFS (MS 블로그 제공, 영문)
http://blogs.technet.com/b/askcore/archive/2013/03/24/alternate-data-streams-in-ntfs.aspx

Alternate data streams (ADS) 는 Internet Security Config의 기본 설정중 Autosandbox에 등록된 아래의 룰과 관련이 있습니다.


즉 CIS는 ADS가 기록된 파일을 실행시 Unrecognized Files 라면 Virtually 상태로 실행을 시킵니다.

댓글 없음:

댓글 쓰기