본문 바로가기

security/해킹 보안

침해사고 대응을 위한 시만텍의 symhelp 소개 및 활용

테크넷 마스터 김재벌입니다.

침해사고를 예방하기 위해서 사용해야 할 도구가 무엇이 있을까요?

취약점 스캐닝 도구가 가장 대표적인 보안 제품일 것이고 , 이를 비롯하여 각종 보안 제품들이 열거 될 것입니다. 

제법 유명한 취약점 스캐너들은 대부분 유료거나 설치가 어렵고 사용 및 분석이 어려웠던 것 또한 사실입니다.

선제적 방어를 위해 취약점 점검을 할 수도 있고 , 침해사고로 의심되는 경우 Live Data Collection 을 수행하기 위해서도 사용할 수 있는 도구.....사용하기 쉽고 , 비용 부담이 없어야 하는 제품은 없나요??

기존에 윈도우 시스템의 취약점 점검과 분석 대응을 위해서는 MS의 MBSA가 무료 이면서 널리 사용되어 왔습니다.

현재도 MBSA는 매우 유용한 도구이기도 합니다.

MBSA는 현재 최신 버전이 2.3 이고 , 아래 링크에서 다운로드 가능 합니다.

http://www.microsoft.com/en-us/download/details.aspx?id=7558

MBSA 는 이미 널리 유명하게 사용중이므로 ,  여기서 제가 소개할 제품은 글로벌 보안 회사인 시만텍의 symhelp 라는 도구 입니다.

symhelp는 아래 링크에서 다운로드 가능합니다.

http://www.symantec.com/business/support/index?page=content&id=tech170752


현재 2014년 10월에 가장 최신으로 업데이트 되어 있습니다.

symhelp는 보안 도구라기 보다는 실행명에서 유래하듯이 symantec help  이며 , 진단 및 장애처리, 데이타 수집 등을 위한 도구 입니다. 

라이센싱 이나 프로그램 관리 기능이 있지만, 추가적으로 잠재적인 악성코드에 대한 탐지 및 치료가 가능하고, 취약점 스캐닝 기능도 가진 제품입니다.


symhelp는 무료지만 기대이상의 취약점 진단 및 스캐닝 기능을 제공해 줍니다.


1. 다운로드 후 symhelp.exe 를 실행합니다.

   아래와 같은 웰컴 메시지와 EULA 가 나타납니다. 

I accept the EULA 를 눌러서 진행합니다.

2.실행 후 좌측에 있는 scans  기능중에 Run Theat Analysis Scan 을 수행합니다.

다른 메뉴는 symantec 제품에 국한된 기능이므로 일반적인 경우는 필요가 없으며 , symantec 제품 사용자 분들에게는 유용할 듯 합니다.

3. Run Theat Analysis Scan 를 누르고 나면 아래와 같은 팝업 창이 나타 납니다. 스캐닝 레벨에 따라 조정하시면 되며 , Basic Scan 은 가장 기본적이며 , 빠르게 스캐닝을 수행하고 Expaned 는 보다 상세하고 확장된 스캐닝 기능을 제공하나 , 보다 시간이 걸립니다.

Scan for root kits 는 루트킷 탐지를 수행해 주는 기능으로 재부팅을 요합니다. 

원하는 항목을 체크 후 Scan 을 눌러 줍니다.

4.스캐닝이 수행됩니다. 5-10분 정도의 시간이 소요 됩니다.

5.스캐닝 후 결과가 출력 되었습니다.

1)Threat Analysis 항목에서 탭을 보면 잠재적 리스크 , 자동 실행 , 프로세스 , 레지스트리 정보 등을 확인 할 수 있습니다.

2) 프로세스 탭을 선택 후 특정 프로세스를 선택합니다.

선택된 프로레스에 대한 상세한 정보가 출력 됩니다.  사용중인 메모리나 모듈에 대해서 상세한 정보를 출력해 줍니다.

3)레지스트리 정보를 확인할 수 있습니다.


6. Report 메뉴를 들어가면 현재 상태에 대한 리포팅을 확인 할 수 있으며 , 필터를 적용하여 원하는 정보만 추출해 볼 수도 있습니다.

7.Information 메뉴에 들어가면 시스템에 대한 정보를 확인 할 수 있습니다. 시간이나, cpu , 네트워크 같은 기본적인 시스템 정보를 쉽게 확인할 수 있습니다.

이러한 모든 정보가 수집되면 , save 메뉴를 통해 리포트 파일을 저장할 수 있습니다.

회사, 이름 , 케이스 등에 대한 다양한 정보를 입력 후 저장하면 됩니다.


symhelp는 해외에서는 이미 많은 사용자가 사용중인 제품으로 안정성은 입증이 된 것 같은데 , 국내에서는 소개된 적도 없네요.

찾아 보니 , 과거에는 일부 악성코드가 symhelp의 명성(?)을 이용하여 symhelp.exe 악성코드로 배포된 적도 있으니 , 이점은 참고하시는게 좋을 것 같습니다.


기대 이상의 데이타 수집과 보고 능력을 보여주므로 널리 사용해 보시는 것도 좋을 것 같습니다.^^


그럼~


p.s 해당 프로그램에 대한 존재를 알려주신 시만텍코리아의 "윤광택 이사님" 께 본 문서를 바칩니다..ㅋㅋㅋ




  • Sun2Day 2015.01.20 08:11 신고

    의심파일 수집이라.. 오탐이 너무 많은것 빼면 쓸만한것 같습니다..
    다만.. 제가 운영하고 있는 경험상 아직까진 100% 오탐이네요.. ^^;

    • 김재벌 2015.01.20 14:17 신고

      넵...어느 보안 제품이나 오탐은 한계인듯 합니다.
      그럼에도 불구 하고 말씀 하신대로 쓸만하긴 할 것 같네요.^^