Broken Code (window31) :: 디지털 사이닝 테스트 결과

디지털 사이닝 테스트 결과

2009/09/10 22:28

디지털 사이닝 테스트 결과

백신이 오진하는 것을 방지하기 위해서 안티바이러스 개발사에서는 디지털 서명을 추가하는 것을
권유하고 있고, 저희도 그렇게 진행하고 있습니다.
실제로 몇몇 안티바이러스는 디지털 서명 추가 유무만으로 자동 화이트리스트를 해주긴 합니다.
그래서 이것이 완벽하진 않지만 어느 정도는 효과가 있는 것 같습니다.
한번 그 테스트 결과를 보실까요.

간단히 MFC 프로젝트로 애플리케이션을 하나 만들었습니다.
먼저 바이러스 토탈에 넣어본 결과입니다.

Step 1) Non Packing - MFC Project

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.5.0.24	2009.09.09	-
AhnLab-V3	5.0.0.2	2009.09.08	-
AntiVir	7.9.1.12	2009.09.08	-
Antiy-AVL	2.0.3.7	2009.09.09	-
Authentium	5.1.2.4	2009.09.08	-
Avast	4.8.1351.0	2009.09.08	-
AVG	8.5.0.409	2009.09.09	-
BitDefender	7.2	2009.09.09	-
CAT-QuickHeal	10.00	2009.09.09	-
ClamAV	0.94.1	2009.09.09	-
Comodo	2204	2009.09.09	-
DrWeb	5.0.0.12182	2009.09.09	-
eSafe	7.0.17.0	2009.09.08	-
eTrust-Vet	31.6.6726	2009.09.08	-
F-Prot	4.5.1.85	2009.09.08	-
F-Secure	8.0.14470.0	2009.09.09	-
Fortinet	3.120.0.0	2009.09.09	-
GData	19	2009.09.09	-
Ikarus	T3.1.1.72.0	2009.09.09	-
Jiangmin	11.0.800	2009.09.08	-
K7AntiVirus	7.10.839	2009.09.08	-
Kaspersky	7.0.0.125	2009.09.09	-
McAfee	5735	2009.09.08	-
McAfee+Artemis	5735	2009.09.08	-
McAfee-GW-Edition	6.8.5	2009.09.08	-
Microsoft	1.5005	2009.09.08	-
NOD32	4408	2009.09.09	-
Norman	6.01.09	2009.09.08	-
nProtect	2009.1.8.0	2009.09.08	-
Panda	10.0.2.2	2009.09.08	-
PCTools	4.4.2.0	2009.09.07	-
Prevx	3.0	2009.09.09	-
Rising	21.46.20.00	2009.09.09	-
Sophos	4.45.0	2009.09.09	-
Sunbelt	3.2.1858.2	2009.09.09	-
Symantec	1.4.4.12	2009.09.09	-
TheHacker	6.3.4.3.398	2009.09.09	-
TrendMicro	8.950.0.1094	2009.09.08	-
VBA32	3.12.10.10	2009.09.08	-
ViRobot	2009.9.9.1924	2009.09.09	-
VirusBuster	4.6.5.0	2009.09.08	-
네, 당연히 바이러스로 진단하는 백신은 하나도 없죠 (여기서 마저 오진을 일으킨다면 ;;; :@) 이번에는 이 애플리케이션을 themida 로 패킹하고 다시 검사해 보았습니다.

Step 2) Themida 적용

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.5.0.24	2009.09.09	-
AhnLab-V3	5.0.0.2	2009.09.08	-
AntiVir	7.9.1.12	2009.09.08	TR/Crypt.TPM.Gen
Antiy-AVL	2.0.3.7	2009.09.09	-
Authentium	5.1.2.4	2009.09.08	W32/Heuristic-210!Eldorado
Avast	4.8.1351.0	2009.09.08	-
AVG	8.5.0.409	2009.09.09	-
BitDefender	7.2	2009.09.09	-
CAT-QuickHeal	10.00	2009.09.09	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.09.09	-
Comodo	2203	2009.09.09	Heur.Pck.Themida
DrWeb	5.0.0.12182	2009.09.09	-
eSafe	7.0.17.0	2009.09.08	-
eTrust-Vet	31.6.6726	2009.09.08	-
F-Prot	4.5.1.85	2009.09.08	W32/Heuristic-210!Eldorado
F-Secure	8.0.14470.0	2009.09.09	Suspicious:W32/Malware!Gemini
Fortinet	3.120.0.0	2009.09.09	-
GData	19	2009.09.09	-
Ikarus	T3.1.1.72.0	2009.09.09	-
Jiangmin	11.0.800	2009.09.08	-
K7AntiVirus	7.10.839	2009.09.08	-
Kaspersky	7.0.0.125	2009.09.09	-
McAfee	5735	2009.09.08	-
McAfee+Artemis	5735	2009.09.08	Suspect-29!85A01CC38DEF
McAfee-GW-Edition	6.8.5	2009.09.08	Heuristic.LooksLike.Win32.Suspicious.J
Microsoft	1.5005	2009.09.08	-
NOD32	4408	2009.09.09	-
Norman	6.01.09	2009.09.08	-
nProtect	2009.1.8.0	2009.09.08	-
Panda	10.0.2.2	2009.09.08	-
PCTools	4.4.2.0	2009.09.07	Packed/Themida.RGa
Prevx	3.0	2009.09.09	Medium Risk Malware
Rising	21.46.20.00	2009.09.09	-
Sophos	4.45.0	2009.09.09	Sus/ComPack-C
Sunbelt	3.2.1858.2	2009.09.09	-
Symantec	1.4.4.12	2009.09.09	-
TheHacker	6.3.4.3.398	2009.09.09	W32/Behav-Heuristic-064
TrendMicro	8.950.0.1094	2009.09.09	-
VBA32	3.12.10.10	2009.09.08	-
ViRobot	2009.9.9.1924	2009.09.09	-
VirusBuster	4.6.5.0	2009.09.08	-

12개 백신이 단지 Themida 로 패킹을 했다는 이유만으로 진단을 하였습니다.
참 사악하네요 -_-; 시중의 안티바이러스 중 20%가 이런짓을 하고 있다는 얘기입니다.
그럼 이번엔 이 상태에서 전저 서명을 추가하고 진단 결과가 어떻게 바뀌는지 확인해 보겠습니다.

Step 3) Themida + Digital Sigining

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.5.0.24	2009.09.09	-
AhnLab-V3	5.0.0.2	2009.09.08	-
AntiVir	7.9.1.12	2009.09.08	-
Antiy-AVL	2.0.3.7	2009.09.09	-
Authentium	5.1.2.4	2009.09.08	W32/Heuristic-210!Eldorado
Avast	4.8.1351.0	2009.09.08	-
AVG	8.5.0.409	2009.09.09	-
BitDefender	7.2	2009.09.09	-
CAT-QuickHeal	10.00	2009.09.09	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.09.09	-
Comodo	2203	2009.09.09	Heur.Pck.Themida
DrWeb	5.0.0.12182	2009.09.09	-
eSafe	7.0.17.0	2009.09.08	-
eTrust-Vet	31.6.6726	2009.09.08	-
F-Prot	4.5.1.85	2009.09.08	W32/Heuristic-210!Eldorado
F-Secure	8.0.14470.0	2009.09.09	Suspicious:W32/Malware!Gemini
Fortinet	3.120.0.0	2009.09.09	-
GData	19	2009.09.09	-
Ikarus	T3.1.1.72.0	2009.09.09	-
Jiangmin	11.0.800	2009.09.08	-
K7AntiVirus	7.10.839	2009.09.08	-
Kaspersky	7.0.0.125	2009.09.09	-
McAfee	5735	2009.09.08	-
McAfee+Artemis	5735	2009.09.08	-
McAfee-GW-Edition	6.8.5	2009.09.08	-
Microsoft	1.5005	2009.09.08	-
NOD32	4408	2009.09.09	-
Norman	6.01.09	2009.09.08	-
nProtect	2009.1.8.0	2009.09.08	-
Panda	10.0.2.2	2009.09.08	-
PCTools	4.4.2.0	2009.09.07	Packed/Themida.RGa
Prevx	3.0	2009.09.09	Medium Risk Malware
Rising	21.46.20.00	2009.09.09	-
Sophos	4.45.0	2009.09.09	-
Sunbelt	3.2.1858.2	2009.09.09	-
Symantec	1.4.4.12	2009.09.09	-
TheHacker	6.3.4.3.398	2009.09.09	W32/Behav-Heuristic-064
TrendMicro	8.950.0.1094	2009.09.09	-
VBA32	3.12.10.10	2009.09.08	-
ViRobot	2009.9.9.1924	2009.09.09	-
VirusBuster	4.6.5.0	2009.09.08	-

12개에서 8 개로 4개가 줄었습니다.
물론 바이러스 토탈의 검사 결과는 실제 안티바이러스를 사용할 때의 결과와 많이 다르다는 것을
많은분들께서 잘 알고 계실겁니다. 그래서 이 테스트는 어디까지나 "가늠" 정도 라고 생각하면
될 것 같고요, 디지털 서명만으로 어쨌든 "완벽한 대책"은 되지 못하지만, 문제의 가짓수를
조금 줄여주는 정도는 된다... 뭐 그런걸 확인할 수 있었네요...

결론... 사이닝이라도 하세요....-_-;
그리고 백신 개발사들은, 사이닝한 바이너리는 디텍션에서 좀 빼줬으면 좋겠네요.

window31.

Posted by window31

트랙백 0 : 댓글 6

트랙백 보낼 주소 : http://window31.com/trackback/318

댓글을 달아주세요

SsiNa

2009/09/11 00:17

이거 다른 시각으로 보면, 백신의 취약점이 되지 않을까요?
무슨 동작을 하는 파일이건, 디지털 서명이 들어간 파일에 대한 진단 패스
- window31
  
  2009/10/02 16:27
  
  네. 하지만 취약점을 줄인다고 싸그리 잡는 것 부터 고쳐야 한다고 생각합니다.

viruslab

2009/09/11 09:34

실제 해외 악성코드 제작자들이 자신들이 만드는 악성코드에 디지털 서명을 넣어서 Bypass 하자는 논의도 있고요.

File Infector 같은 경우 감염될 때 디지털 서명이 잔존하는 경우도 있을 수 있겠지요.

암튼 100% White List 구분은 아니더라도 어느정도 1차 Filtering 정도로 활용한다면 좋지 않을까 싶네요.
- window31
  
  2009/10/02 16:27
  
  네 좋은말씀 감사합니다 !