정의
보안 분야에서 Signature는 해를 거쳐 다양한 의미로 사용되었다.
하지만 Snort에서 Signature는 "공격(exploit)에 존재하는 고유한 표시(mark)나 특징들에 기댄 여러 탐지 방식"을 의미한다.
특징
이러한 Signature 들은 특히 알려진 공격 방식을 탐지하기 위해 설계되었는데, 이는 이들이 실제로 취약점을 공격하는 것과 연관이 있을 수도 있는 ego string, 고정된 offset, debugging 정보 같은 고유한 mark를 포함하고 있기 때문이다.
실제 public 공격 방식이 이런 유형의 탐지가 동작하는 방식에 필수적이기 때문에, 해당 탐지 유형은 일반적으로 사후탐지 (day-after detection) 로 분류된다. Anti-Virus 회사들은 virus 발생 시 고객을 보호하기 위해 이런 기술들을 사용한다.
한계
여러 시간에 걸쳐 확인했듯, signature가 작성되기도 전에 누군가 이미 virus에 의해 감염되기 때문에, 이런 보호 방식은 오직 제한된 보호 역량만을 제공한다.
'리팩토링' 카테고리의 다른 글
| 리팩토링 18주차. 악성코드 샘플링 및 기초 분석 (0) | 2024.11.11 |
|---|---|
| 리팩토링 17주차. Snort/Snort Rule Signature (1) | 2024.11.04 |
| 리팩토링 16주차. 악성코드 분석 보고서 작성 (0) | 2024.10.31 |
| 리팩토링 15주차. 악성코드 분석 실습(2) (1) | 2024.10.23 |
| 리팩토링 14주차. 악성코드 분석 실습 (1) | 2024.10.10 |
