ThreatFire - 행동 기반 악성코드 진단 도구

오늘은 색다른 Anti - Malware Tool을 하나 소개해 드립니다.

미리 말씀드리면 저의 개인적인 소견으로는 이 도구를 실시간 감시로써 항상 구동 시키는 것은 추천하고 싶지는 않습니다 .

그러나 컴퓨터가 수상스러울 때 한 번쯤은 응용해 볼 수 있는 도구로써
또 특이한 도구라 소개해 봅니다 .

ThreatFire 홈페이지입니다. 링크가 더는 유효하지 않아 삭제 (2022년 11월 메모).  고지 : ThreatFire는 개인사용자가 비영리적 목적으로 사용할 때만 무료입니다 .

ThreatFire 는

PC Tools이 제공하는 도구입니다.

ThreatFire는 기본적으로 시스템을 스캔하지 않는다고 합니다.

그 이유는 ThreatFire는 signature기반의 진단을 하지 않고,
행동 기반의 진단을 하기 때문이랍니다.

ThreatFire는 행동 기반으로 진단된 알려지지 않은 위협이라고 생각되는 것에
대하여는 보고하고 사용자의 선택에 따라 격리하기 또는 그냥 격리하기 옵션을 제공하고

이미 PC Tools가 진단하는 malware들에 대하여는 보고하고 격리하기
옵션을 제공합니다 .

ThreatFire는 Command Line  Scan 도구를 제공하지 않는데,
그 이유는 ThreatFire는 Activation된 의심스러운 것만 진단하는
프로세스로 진단을 하기 때문이라고 합니다.

ThreatFire를 보다 보면 스캔 도구가 있긴 한데
그 것은 hidden files와 Rootkit을 검색하기 위한 스캐너이며
만약 시그니쳐 진단 기반의 전통적인 스캔을 원한다면
ThreatFire내 메뉴에서 PC Tools 백신을 다운로드 설치해야 합니다.
(PC Tools의 무료 백신은 구글팩에서도 다운로드가 가능합니다.)

PC Tools의 보고에 따르면 
ThreatFire는 대다수의 타 백신의 실시간 감시와 충돌하지 않으면서
그들을 보충해주는 역활을 하여 진단율을 높여준다고 합니다.

이제 스크린 샷들을 보아가면서 간단한 설명을 더하여 보겠습니다.

ThreatFire 메인 창입니다.

Start Scan 섹션입니다.
Rootkit 스캔이 가능하고 PC Tools 무료 백신 다운로드가 가능합니다.
참조하실 점은 루트킷 스캔이 루트킷만 찾아내지는 않는다는 점입니다.

임시 인터넷 폴더나 시스템 Temp 폴더에서 잘 지워지지 않는 파일들도 찾아냅니다.

Threat Control 섹션입니다.
ThreatFire가 경고를 내보냈을 때 사용자가 어떠한 조치를 취했는가
기록을 남겨 놓는 곳입니다.

Advanced Tool 섹션입니다.
Advanced rule setting>Custom Rule Settings를 누르면 아래 같은 창이 뜹니다.

①에서는 ThreatFire가 감시하지 않을 신뢰된 프로세스 등록을 할 수가 있습니다. 
②는 호스트 파일 변조를 감시하는 옵션입니다.
③은 프로그램의 설치나 설치된 프로그램의 실행을 감시하는 옵션입니다.
④는 프로세스가 네트워크에 접속하려는 것을 감시하는 옵션입니다.
⑤는 확장자를 숨긴 파일 , 즉 , jpg 확장자를 보여주는데 실재로는 excutable로 작동하는
   파일 같은 것이 실행될 때 경고를 보이는 옵션입니다.
⑥은 이메일이나 브라우저를 통해 화면 보호기가 설치될 때 경고를 보이는 옵션입니다.
   요즘 네이트온 악성코드들이 주로 화면 보호기 형태로 침투하죠..... 

위 옵션들은 기본 옵션이며 사용자는 창의 오른쪽에 보이는 스위치들을 이용해
새로운 룰을 추가하거나 기존 룰을 폐기할 수 있습니다.

Advanced Tool>System Activity monitor를 통해 여러 정보를 보실 수 있는데
인상적인 것은
Process explorer에서는 볼 수 없는 보호된 프로세스의  Module도 보인다는 것입니다.
AYAgent.aye같은 경우는 Process explorer에서는
그 라이브러리(모듈)들을 볼 수 없습니다.

Advanced Tool>System Activity monitor를 통해 볼 수 있는 것은
아래 빨간 박스와 같습니다.

 

Settings 섹션입니다.

신경 쓸 것은 두 가지인데

우선 Defalt Actions는 위 그림에서 보이듯 기본 설정으로 하시는 것이 좋겠습니다.
의심스러운 행동이나 원치 않을 프로그램 설치에 대하여 경고를 보고(Prompt Me)
격리 할 것인지 허용할 것인지 판단하는 것이
혹시나 모를 격리로 인한 시스템 에러를 줄이는 길일터이니까요 ......

맨 아래의 것은 알려진(즉 , PC Tools 백신이 진단하는)
악성코드 검색시 취할 행동인데 이 칸에는
격리 또는 격리후 알려줌 두가지 옵션만이 있습니다.

Community Protection이란 내 컴퓨터에서의 의심스러운 행동을
ThreatFire 서버로 전송해줌으로써 다른 사용자가 같은 위협을 받을 때
보호받을 수 있게 데이타 베이스를 늘려주는 것인데,
내 정보를 보내는 대신 다른 사용자가 보낸 정보를 이용해 
내 시스템도 보호받을 수 있다는 개념입니다.

내 시스템 정보가 조금이라도 나가는 것이 싫으신 분들은 꺼두셔야겠습니다.
(기본은 on입니다 .)
 
모두에 말씀드렸지만,
ThreatFire의 실시간 감시를 계속 켜 두는 것은 저 개인적으로는 권장하지 않습니다.

그러나 시스템이 감염으로 인해 이상한 거 같은데
그 원인이 잘 안 밝혀질 때 한번쯤 Apply해 볼 만한 도구로 보입니다.

단, ThreatFire가 내보내는 경고를 이해하지 못해 판단하기 힘든 사용자,
오진으로 인한 피해에 대처할 수 없는 사용자들께서는
사용하지 마시기 바랍니다.

물론, PC Tools에 따르면 ThreatFire는 거의 오진을 않는다고 합니다만,
오진은 어느 백신이든지 할 수 있는데,
ThreatFire는 행동 기반이므로 위험성이 약간은 더 있다고 보입니다.

이 ThreatFire란 도구는
아마도 PC Tools의 진단율을 높이는 데도 기여하는 도구로 보입니다.

여담입니다만
ThreatFire는 어쩌면 안철수연구소가 서비스를 제공중인 게임 사이트들에서 구현하는
memory heuristic과도 비슷한 것이 아닐까도 생각이 듭니다.
(제가 게임을 거의 안해서요 .........)

만약 비슷한 것이라면
안철수연구소도
진단은 하되 처치는 않고, 안철수연구소로 보고하도록 해 
엔진 업데이트에 반영해주는 그러한 도구를
배포하고, 또 각 제품에 포함시키면 어떨까 한 번 생각해 봤습니다.......

그렇게 하면 V3의 검색률이 더 높아질 수 있는 방안이라고 보입니다.

한국인이기에 안철수연구소의 위상이 세계적으로 높아지기를 바라는
개인 사용자로서 글을 줄이기 전에 여담을 남겨 보았습니다.