바이러스 백신(예:ESET)이 아카이브(예: .RAR) 내부에서 바이러스를 탐지하면 감염된 파일을 자동으로 삭제합니까? 아니면 전체 아카이브를 삭제해야 합니까? (아카이브가 비밀번호로 보호되어 있지 않다고 가정)
답변1
대부분의 보안 제품이 아카이브에 접근하는 방식에 대해 먼저 언급하는 데 몇 문장 정도 가치가 있다고 생각합니다.
대부분의 엔드포인트 실시간/온액세스 스캐너(기본적으로)는 실시간 압축 풀기 오버헤드로 인해 아카이브를 완전히 스캔하지 않으며, "컨테이너"는 실제로 "즉각적인" 위협을 제기하지 않으므로 그렇지 않습니다. 잠재적으로 무언가를 더 빨리 감지할 수 있다는 점에서 성능 저하의 가치가 있습니다.
즉, 대부분의 제품은 실시간으로 아카이브를 검색할 수 있는 옵션을 제공하지만 권장되지 않는 경우가 많습니다.
대부분의 솔루션에는 컴퓨터를 보호하고 해당 파일이 처음부터 컴퓨터에 저장되는 것을 방지하기 위한 여러 계층이 포함되어 있습니다. 예를 들어 대부분의 솔루션에는 브라우저에서 파일을 다운로드할 때 디스크에 기록하기 전에 파일을 검색하는 후크가 있으며, 아마도 브라우저 프로세스 앞에 있는 일부 웹 프록시 프로세스에 있을 수 있습니다. 이 스캐닝은 시간에 민감하지 않기 때문에 더 많은 시간이 걸릴 수 있으며 대부분은 "공격"인 경우 리소스 고갈을 방지하기 위해 "zip-bomb" 감지 기능을 갖습니다.
예를 들어, 파일 다운로드 시 3초가 더 걸리는 것을 실제로 신경 쓰는 사람은 없지만, 프로세스가 3초 동안 디스크에서 파일을 읽지 못하도록 차단하는 경우 이는 눈에 띄지 않을 것이며 파일 요청이 일시적으로 차단되면서 정지를 느낄 가능성이 높습니다. 커널에서 바이러스 검사를 보류 중입니다. 이메일 첨부 파일을 다운로드할 때도 마찬가지입니다. 속도는 그다지 중요하지 않습니다.
이는 엔드포인트 업스트림의 어플라이언스(웹/이메일/등..)와 같은 보안 제품에도 적용됩니다. 조치를 취하기 위해 가능하다면 아카이브를 스캔할 시간이 있습니다.
아카이브 파일이 디스크에 저장되었고 일선이 실패했거나 탐지 서명/방법이 새로운 것이라고 가정합니다. 압축 풀기 프로세스의 일부로 실시간/액세스 스캐너는 압축이 풀릴 때 각 파일을 검색합니다. 그러면 실시간 스캐너가 이를 포착하게 됩니다.
보관 파일 형식은 일반적으로 예약 검색의 일부로 또는 주문형 엔드포인트에서 (기본적으로) 검색되며 이는 일반적으로 예약 검색이 완료된 후 메시지를 받을 때 수행됩니다. 스캐너는 암호로 보호되어 있고 압축을 풀 수 없다고 말할 수 있으며, 실시간 구성 요소는 사용자가 암호를 제공할 때 여기에서 이를 선택합니다. 필요에 따라 콘텐츠를 검색할 수 있는 경우 제품은 일반적으로 컨테이너 내의 감염된 개체에 대한 전체 경로를 보고합니다.
대부분의 제품은 감지된 각 구성 요소에 대한 감지 시 발생하는 작업(예: 실시간, 주문형/예약 검색)을 구성할 수 있는 옵션을 제공합니다. 대부분의 경우 문제의 위협에 대한 정리 루틴이 작성된 경우 위협을 먼저 정리한 다음, 아무 조치도 취할 수 없는 경우 차단/격리하기 전에 먼저 정리하려고 합니다.
이전과 마찬가지로 아카이브 내부 실시간 검색 옵션이 있습니다. 일반적으로 탐지 시 파일을 자동으로 삭제하도록 구성할 수 있지만 잘못된 긍정의 위험이 있으므로 대부분의 공급업체는 기본적으로 파일을 삭제하지 않습니다.
따라서 최종 사용자를 위한 옵션은 다음 중 하나 이상입니다.
- 필요하지 않은 경우 전체 아카이브 파일을 삭제하십시오. 예를 들어 다운로드 디렉터리에 필요하지 않은 파일이 있을 수 있습니다.
- 오탐(연령, 감지 이름, 감지된 파일, 디스크 위치, 직관 및 경험 필요)이라고 생각되면 일반적으로 공급업체에 샘플을 보낼 수 있습니다. 참고: 공급업체의 서명/탐지 방법에 따라 해당 파일만 보내는 것이 아니라 전체 아카이브를 보내야 할 수도 있습니다.
- 2차 소견으로 virustotal.com에 아카이브와 감지된 개체를 모두 업로드할 수도 있습니다.
- 아카이브에 다른 파일이 필요한 경우, 감지된 요소를 주의 깊게 삭제하기 전에 압축을 풀기 위해 파일 및/또는 대상 위치를 승인/제외해야 할 수도 있습니다. 그런 다음 다시 압축할 수 있지만 아카이브의 목적에 따라 제거한 감지된 구성 요소가 필요한 경우 아카이브를 쓸모 없게 만들 수도 있습니다.
위의 내용을 고려하면 대부분의 제품은 기본적으로 내부 구성 요소 감지를 기반으로 아카이브를 다시 포장하지 않는다고 말하는 것이 타당하다고 생각합니다. 그러나 docx 컨테이너에 자신을 배치하여 확산되는 악성 코드가 있는 경우 공급업체는 제공된 샘플을 통해 아카이브에서 위협만 제거하는 정리 루틴을 쉽게 작성할 수 있습니다. 따라서 여기에 대한 대답은 기본적으로는 아니지만 샘플이 제공되고 그렇게 할 충분한 이유가 있다고 생각합니다.