■ 개요

ZombieZERO Inspetor는 가상시스템을 이용한 네트워크기반 탐지시스템과 분석시스템으로 구성되어 있으며, 총 3단계의 시그니처

및 행위기반 분석을 통해 알려지지 않은 신·변종 악성코드를 탐지하여, 잠재된 내부 위협에 대한 사전 대응이 가능합니다.

 ■ 주요기능

1. 트래픽 분석 및 파일추출

- 트래픽 분석을 통한 유입 파일 수집

▷ Web, FTP, SMTP, POP등 파일 전송 관련 프로토콜을 통한 유입 파일 수집

▷ 실행 및 압축파일, 문서파일 등 다양한 확장자를 가진 유입 파일을 수집/분석

2. 3단계 악성코드 분석 시스템

▷ 시그니처 분석 및 행위기반 분석 동시 지원

▷ 탐지된 악성코드 패턴생성을 통한 감염PC 치료기능 제공

3. 행위기반 분석

- 가상시스템을 통한 행위기반 분석

▷ Sandbox 기반의 가상시스템을 제공, 동적 분석 시스템과 정적 분석 시스템으로 구성된 가상시스템 적용

▷ PE파일(DLL, EXE 등)과 압축파일, MS-Office, HWP, PDF 등 다양한 포맷 문서에 대한 분석 기능 제공

▷ 동적 분석 엔진을 이용한 의심파일 실행 후 프로세스, 파일, 네트워크, 메모리 등의 행위 모니터링/분석 후

    악성 유무에 대한 탐지결과 제공

▷ 정적 분석 엔진(PE정적, 문서정적)을 이용한 파일 소스코드 분석 및 스크립트 분석을 통해 소프트웨어

   취약점(인젝션, 웹 등)을 이용한 시도 가능한 공격 및 소스코드, 스크립트 포함 여부를 탐지, 상세정보 제공

▷ 실행파일에서 가상엔진상에서의 동작을 탐지하는 부분을 제거하여 강제로 실행을 유도함으로써

   가상엔진 회피형 악성코드에 대해서도 탐지

■ 특장점

1. C&C 서버 접근에 대한 이중 탐지/차단

▷ Outbound URL 및 URI 접근 패턴 분석을 통한 C&C 접속행위 탐지

▷ 내부 사용자의 C&C 서버 접속 이중 탐지 차단 (DNS Sinkhole, TCP Reset)

▷ 엔피코어 C&C 분석센터에서 보유한 C&C 서버 리스트와의 연동을 통해 C&C 정보 라이브 업데이트 지원

2. 유 · 출입되는 트래픽에 대해 지능형 분석을 통한 악성행위 탐지

▷ 세션별 통합분석

▷ 파일의 네트워크 행위(DNS, URL 등)에 대한 유해성 검사

▷ 대형 트래픽 상황에서도 관련도 검색을 통한 'Bot net'통신 탐지

3. 대용량 트래픽 분석

▷ 자체 개발한 트래픽 처리 전용 멀티코어 프로세스 SmartNIC을 장착시킨 임베디드 하드웨어 플랫폼을

    적용하여 대용량 트래픽에 대해서도 고성능 분석 제공

▷ 작은 패킷 사이즈에서도 20Gbps의 빠른 패킷 수집 성능 제공

■  사양