ReversingLabs

가장 혁신적이고 진보한 차세대 악성코드 탐지·분석 솔루션 ReversingLabs

가장 진보한 기술이 적용 된 악성코드 분석 시스템

2009년 설립, 비상장 회사

전세게 500명 직원 기반 지속적인 성장, 2011년 In-Q-Tel 전략적 파트너


주요고객 & 파트너사

10대 보안 회사 8번 선정, 미 정부 기관 과 국방부 등 주요 고객, 상업적 주요 고객(금융, 첨단산업기술, 정유회사, 병원, 판매점, 방송통신)


확장성

전세계 100만 사용자 솔루션 사용, 지능형 스위치를 이용한 10Gbps 이상 네트워크 지원, 가상화·AWS 와 논리적 제품 구성

ReversingLabs의 특장점

01 악성코드 분석 변화

분석변화 01Anti-Virus 솔루션분석변화 02SandBox 솔루션분석변화 03차세대 악성코드 분석 솔루션
분석변화 01Anti-Virus 솔루션 - 패턴 및 시그니처 기반 악성코드 분석
- 긴 분석 소요시간 필요
- 신·변종 악성코드에 취약
- 가상화 기술을 통한 파일 실행 분석
- 동적 분석을 통한 악성코드 샘플 제어
- 성능적 한계 및 쉬운 회피
- 파일 분해 실행을 통한 악성코드 분석
- 고성능 분석 처리 기능
- 분석 내용 전용 해쉬 알고리즘 관리
분석변화 02SandBox 솔루션 - 가상화 기술을 통한 파일 실행 분석
- 동적 분석을 통한 악성코드 샘플 제어
- 성능적 한계 및 쉬운 회피
단일 에이전트(intelligent agent) - 파일 분해 실행을 통한 악성코드 분석
- 고성능 분석 처리 기능
- 분석 내용 전용 해쉬 알고리즘 관리

02 악성코드 분석 방식

Manual Static Analysis - Hours / File
- Tool 위주 디셈블러 기술
- 전문적인 고급 지식이 필요
- 반복적인 샘플 추축 및 표시 작업에 많은 시간 소요
Dynamic Analysis - Minutes/ File
- 샘플 제어 분석
- 악성코드에 의한 쉬운 회피
- 성능에 의한 불완전한 분석
- 제한된 파일 형식 분석
- 제한적인 제어 흐름 분석
Active File Decomposition - Milliseconds/ File
- 파일 분해 분석
- 3500 형식 이상 파일 포맷 식별
- 광범위한 지표(3,000개 이상)
- 윈도우, 리눅스, 모바일, 문서… 분석 지원
- 클라우드를 이용한 분류
- 지능형 룰 정책
- YARA 및 타사 모듈 지원

03 악성코드 탐지, 분석 Flow

ReversingLabs N1000 솔루션 악성코드 탐지, 분석 과정은 멀티 형태로 분석하며, 모든 과정을 완료하는데 소요되는 시간은 millisecond가 소요됩니다.

01파일 추출 - HTTP, Email, FTP, SMB 프로토콜 파일 추출
02파일 유형 분류 및 정의 - 3,500 파일 형태 포맷 분류
- 파일 포맷 유형 오류 검사
03파일 분해 - 반복적인 파일 분해
- 350+ 파일 포맷과 15 RAT 포맷의 파일을 Unpacked
04Meta Data 추출 - 분해된 파일 오브젝트 내 3,000+ 메타 데이터 필드 추출
악성코드 사전 위협지표 검사
05정적 행위 기능 분석 - PE/ELF/Hech-O/DEX
- 100+ 함수 와 40+ 기능 검사
- AV, sandbox 회피 탐지
- 비트코인 발굴 외
06RHA 분석 - 알려진 악성코드 및 Goodware 파일 확인
- RHA Code 기능 유사성 검사
07파일 변형 분석 - 추출된 메타 데이터 이용 파일 변형 및 기형 Rules 분석
- RHA / 파일 평판 / YARA 검사
08Titanium Cloud - Cloud 파일 평판 데이터베이스 확인
- 5억개 Goodware 그리고 Malware sample 비교
- 38개 멀티 AV 스캐너 분석

04 AFD(Active File Decomposition)

AFD 개요

05 RHA(ReversingLabs Hashing Algorithm)

RHA는 알려지지 않는 신종 악성코드 또는 변종 악성코드를 탐지 하기위한 ReveringLabs의 고유한 악성코드 관리 알고리즘 입니다.

다양한 형태로 발생하는 악성코드 기능 RHA1 Hash 추출

추출된 RHA1 Hash를 이용한 코드 기능 유사성 검사

다양하게 나타나는 악성코드 기능을 RHA1 Hash를 통해 추출하고 관리 합니다. 추출된 RHA1 Hash는 변종 및 미래에 발생가능한 악성코드에 대해 기능 유사성 검사를 통해 알려지지 않은 악성코드를 찾아 냅니다. 하나의 RHA1 Hash 는 유사한 기능을 실행하는 수천개의 악성코드를 탐지 할 수 있습니다.

06 기술 비교

앞선 기술을 통한 악성코드 탐지,분석 기능은 우수한 제품 경쟁력을 제공 합니다.

파일 추출 지원 프로토콜

[ReversingLabs]

HTTP, SMTP, FTP, SMB

[Sandbox]

HTTP or SMTP
파일 분석 성능

[ReversingLabs]

5 milliseconds / file

[Sandbox]

Up to 15 minutes / file
Zero-Day 위협에 대한 시그니처 대응 시간

[ReversingLabs]

실시간

[Sandbox]

Days
파일추출 / 파일 처리 사이즈(Default)

[ReversingLabs]

750MB

[Sandbox]

1MB – 15MB
파일 유형 정의

[ReversingLabs]

3,500+ 유형

[Sandbox]

20+ 유형
위협 요소 사전 지표
(Proactive Threat Indicators)

[ReversingLabs]

3,000+

[Sandbox]

200+
STIX 표시 변환

[ReversingLabs]

YES (static & dynamic)

[Sandbox]

No
행위 분석

[ReversingLabs]

Static 보고서

[Sandbox]

Dynamic 보고서
On-premise 파일 평판 데이터베이스

[ReversingLabs]

Yes

[Sandbox]

No
64-bit Emulator 및 유사 Code 해쉬

[ReversingLabs]

Yes

[Sandbox]

No
연속적인 멀티 AV 스캐닝 통합

[ReversingLabs]

Yes

[Sandbox]

No
Windows, Linux, Unix, MacOS, iOS, Firmware, 안드로이드

[ReversingLabs]

Yes

[Sandbox]

No