윈도우를 위한 관리, 진단, 트러블슈팅 툴인 Sysinternal utilities 는 2006년 마이크로소프트로 흡수된 이후 누구나 무료로 TechNet 을 통해 다운받아 사용할 수 있도록 제공되고 있습니다. Sysinternal 을 구성하는 많은 유틸리티 중 Sysmon 은 시스템 내에서 일어나는 여러 행위들을 기록하며 이를 통해 잠재적인 위협을 예방할 단서들을 얻을 수 있습니다.
PLURA V5 는 Sysmon 에서 기록하는 로그를 통합관리할 수 있도록 준비해두고 있습니다.(PLURA V5 에서 Sysmon 사용하기)
Sysmon 이 로그로 남기는 여러 정보들 중, 해시(Hash)값이 있습니다.
해시는 파일이 불가역 연산을 통해 특정 값으로 변환된 문자열로 파일의 내용이 조금만 다르더라도 전혀 다른 값이 되어버리는 특징을 갖고 있습니다. 이러한 파일 해시값 비교를 통해 파일 전체를 스캔하는 수고를 하지 않고도 파일의 동일성 여부를 알 수 있어 위변조 탐지 등에 널리 이용됩니다. 해시는 사람의 지문과 같은 역할을 하지만 640억 분의 1의 확률로 동일할 수 있다고 알려진 지문과 달리 훨씬 신뢰성이 높습니다. (예를 들어 SHA256 해쉬의 경우 256비트의 경우의 수를 가집니다.)
시스템에서 프로세스 생성, 이미지로드, 드라이버로드 등의 행위가 이뤄질 경우 Sysmon 은 자동으로 그 파일의 해시값을 로그에 같이 기록하는데 이를 이용한 많은 응용이 가능합니다.
구글이 소유하고 있는 Virus Total 은 파일 업로드만으로 세계 유명 안티바이러스 엔진 수십 개를 이용해 무료로 간편하게 파일검사를 할 수 있어 많이 이용되고 있습니다.
Virus Total 은 매번 유저들이 파일을 업로드하고 검사를 할 때마다 파일해시와 결과값만을 따로 저장해두며 이를 이용해 파일해시 검색을 지원합니다. 파일 전체를 업로드하는 것이 아닌, 해시만을 쿼리함으로써 사용자는 빠르게 파일의 악성 여부를 조회할 수 있습니다.
References:
(1) Microsoft TechNet. Windows Sysinternals. https://technet.microsoft.com/en-us/sysinternals/(Accessed2017-02-01).
(2) Wikipedia. Sysinternals. https://en.wikipedia.org/wiki/Sysinternals (Accessed 2017-02-01).
(3) Wikipedia. Comparison of cryptographic hash functions. https://en.wikipedia.org/wiki/Comparison_of_cryptographic_hash_functions (Accessed 2017-02-01).
