최근 악성코드에 의한 피해는 상업용 백신의 지속적인 개발에도 불구하고 급격히 증가되고 있다. 일반적으로 백신은 이미 알려진 악성코드는 효과적으로 탐색이 가능하지만 아무런 정보가 없는 악성코드를 탐색하기는 어려우며, 또한 최근의 악성코드들은 백신의 갱신속도보다 훨씬 빨리 새로운 변종들을 만들어내고 있기 때문에 백신의 대응이 늦게 되는 경향이 있다. 본 논문에서는 이러한 악성코드들을 효과적으로 탐색할 수 있는 탐색도구의 설계 및 개발에 관하여 기술한다 본 연구의 도구는 악성코드의 기능을 분석하여 특정한 시그너처를 추출함으로서 기존의 악성코드들 뿐 아니라 새로운 악성코드와 그 변종들에 대해서도 능동적으로 대처할 수 있다.
최근 악성코드에 의한 피해는 상업용 백신의 지속적인 개발에도 불구하고 급격히 증가되고 있다. 일반적으로 백신은 이미 알려진 악성코드는 효과적으로 탐색이 가능하지만 아무런 정보가 없는 악성코드를 탐색하기는 어려우며, 또한 최근의 악성코드들은 백신의 갱신속도보다 훨씬 빨리 새로운 변종들을 만들어내고 있기 때문에 백신의 대응이 늦게 되는 경향이 있다. 본 논문에서는 이러한 악성코드들을 효과적으로 탐색할 수 있는 탐색도구의 설계 및 개발에 관하여 기술한다 본 연구의 도구는 악성코드의 기능을 분석하여 특정한 시그너처를 추출함으로서 기존의 악성코드들 뿐 아니라 새로운 악성코드와 그 변종들에 대해서도 능동적으로 대처할 수 있다.
Recently, the damages occurring from the malware are increasing rapidly, regardless of continuous development of commercial vaccines . Generally, the vaccine detects well-known malware effectively, but it becomes helpless without any information against the unknown ones. Also, the malware generates ...
Recently, the damages occurring from the malware are increasing rapidly, regardless of continuous development of commercial vaccines . Generally, the vaccine detects well-known malware effectively, but it becomes helpless without any information against the unknown ones. Also, the malware generates its variations fast enough, so that the vaccine always gets behind in its updates. In this paper, we are describing a design and development of malware detection tool, which can detect such malware effectively. We first analyze the general functionality of the malware, and then extracts specific signatures. Such that, we can actively cope with a malware, which may come in previous type, a new type, and any of its mutations also.
Recently, the damages occurring from the malware are increasing rapidly, regardless of continuous development of commercial vaccines . Generally, the vaccine detects well-known malware effectively, but it becomes helpless without any information against the unknown ones. Also, the malware generates its variations fast enough, so that the vaccine always gets behind in its updates. In this paper, we are describing a design and development of malware detection tool, which can detect such malware effectively. We first analyze the general functionality of the malware, and then extracts specific signatures. Such that, we can actively cope with a malware, which may come in previous type, a new type, and any of its mutations also.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 이러한 악성코드의 가능성을 경고하여줄 수 있는 악성코드 탐색도구의 설계 및 개발에 관하여 기술 한다. 본 연구의 도구는, 만약 사용자에게 주어진 특정 실행 파일이 악성코드일 가능성에 대처하게 될 때, 이를 실행해 보지 않고도 파일의 안정성을 조언해줄 수 있기 때문에 백 신이외의 또 다른 안전장치라고 할 수 있다.
본 논문은 기존 휴리스틱 기반 탐지도구의 성능을 보다 향상 시킬수 있는 방안을 제안 하였다. 그러나 최근의 악성 코드의 작성 기법들은 급속도로 발전하고 있으며, 또한 그 기능도 광범위하게 증가하고 있는 추세이다.
그러나 현실적으로는 악성코드에 대한 미흡한 대응책으로 인해 보안 체계의 허점으로 작용하고 있다. 본 연구에서는 악성코드에 대한 기본 개념과 기능들에 대해 분석하고, 이를 기반으로 하여 API 시그너처로 분석하는 악성코드 탐지 도구를 설계 및 구현하였다. 기존의 백신이나 기타 악성코드 탐지 방안들은 단순 시그너처 비교를 통한 악성코드 탐지만 가능하기 때문에 신종 악성코드나 변종에 대한 대처가 미흡하지만.
비교한다. 최종적으로, 비교 분석된 결과 가 악성코드인지 여부에 관한 결과를 사용자에게 제공한다. 이러한 접근은 기존의 악성코드뿐만 아니라 새로운 악성코 드와 그 변종에 대해 능동적으로 대처할 수 있고, 사용자에 게 그 분석 내용을 보고함으로써 사용자에게 보다 더 친화 적인 악성코드 탐지 기능을 제공할 수 있게 된다.
제안 방법
시그너처 추출 과정이 종료된 후 분석 작업이 수행된다. 분석 작업은 추출된 시그너처의 패턴과 일치하는 "Rule" 데이터베이스에 저장된 규칙을 검색하고, 이에 해당되는 결과를 돌려준다.
이 결과를 기반으로 악성코드의 기능에 대한 가능성과 관련된 정보를 "Functionality List"에 표현하고 악성코드에 대한 가능성을 Result에 저장한다. 마지막으로 저장된 각각의 정보를 Report 모듈을 통하여 사용자에게 보고하는 기능을 수행한다.
(그림 6)은 시그너처 추출부에서 API 시그너처를 획득하는 과정을 보여준다. 바이너리 코드와 분석된 PE 구조를 사용하여 API에 대한 시그너처를 획득하고, 데이터베이스에서 악성코드의 기능을 구성하는 특정 API에 대한 정보를 받아 특정 API를 추출한다.
기존의 백신이나 기타 악성코드 탐지 방안들은 단순 시그너처 비교를 통한 악성코드 탐지만 가능하기 때문에 신종 악성코드나 변종에 대한 대처가 미흡하지만. 본 논문에서 제안한 도구는 신종 악성코드나 변종에 대해 능동적이고 신속하게 대처할 수 있는 장점이 있다. 또한, 탐지된 악성코드의 기능에 대해 각각 분석하고, 분석된 내용을 사용자에게 보고할 수 있다.
본 도구는 C++ 언어를 사용하였고, GUI 환경을 위해서 MFC를 사용하였다. 윈도우즈 플랫폼을 이용한 이유는 대부분의 악성코드들이 윈도우즈 계열을 목표로 제작되고 있기 때문이다.
본 도구에서는 총 15 개의 API에 대한 시그너처를 통하여 각각의 기능들을 판별할 수 있도록 구현하였다. 또한 API 시그너처 이외에 ".
분석부는 바이너리 코드를 파싱하여 획득한 API 시그너 처를 사용하여 악성코드의 가능성 여부를 분석하는 기능을 수행한다. 분석부의 구성은 Rule Engine, 규칙데이터베이 스, 그리고 Functionality List와 Result모듈들로 구성된 다 (그림 7).
"Get Signature" 메 뉴를 선택하면 추출된 API 시그너처와 데이터베이스에 저 장된 API와의 비교를 통해 특정 API 시그너처를 선택하게 된다. 시그너처 추출 모듈을 통해 복제 기능, 레지스트리 수정 기능, 메일 전파 기능, P2P 전파 기능에 대한 API와 PE 구조를 통해 추출된 API를. 비교하여 각 기능에 대한 시그너처를 획득하게 된다.
알려지지 않은 악성 스크립트를 탐색하기 위하여 기존의 악성코드에서 악성행위를 위한 메소드(method)나 내장함수 (intrinsic function) 호출들을 미리 데이터 베이스화 하여 두고. 대상 스크립트를 스캔하여 일정 수 이상의 위험한 호출이 나타나면 이것을 악성 스크립트로 간주하는 방식이다 (7).
본 연구의 탐 색도구는 다음과 같이 수행된다. 우선 의심스러운 실행파일 로부터 일반적으로 악성코드들이 주로 사용하는 윈도우즈 API함수들을 분석 및 추출한다. 그리고 이러한 함수들을, 사전에 잘 알려진 악성코드들로부터 추출하여 데이터베이스 에 저장한 패턴과.
성능/효과
본 논문에서는 이러한 악성코드의 가능성을 경고하여줄 수 있는 악성코드 탐색도구의 설계 및 개발에 관하여 기술 한다. 본 연구의 도구는, 만약 사용자에게 주어진 특정 실행 파일이 악성코드일 가능성에 대처하게 될 때, 이를 실행해 보지 않고도 파일의 안정성을 조언해줄 수 있기 때문에 백 신이외의 또 다른 안전장치라고 할 수 있다. 본 연구의 탐 색도구는 다음과 같이 수행된다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.