[논문]프로파일 기반 악성 로더 공격탐지 및 필터링 기법

윤이중; 김요식

문제 정의

안티바이러스와 시스템의 프로세스에 대해 감시하고 통제하는 Process Guard와 같은 프로그램의 목적은 시스템 상에서 동작하는 스파이웨어, 바이러스, 백도어 등이 사용자 시스템에 접근하여 사용자 동의 없이 실행되는 프로그램의 동작을 방지하고 제거하는데 목적이 있다[6]. 하지만, 로더는 시스템을 사용하는 사용자가 그 공격 주체인 동시에 사용자 동의하에 실행되기 때문에 의미와 목적이 다르다고 할 수 있다.
프로파일러는 프로파일 레코드를 생성하기 위해 실시간으로 동작되는 시스템상의 프로세스들의 시작과 끝을 감지하고 새로운 프로세스가 시작되면 API 후킹을 통해 레코드를 생성한다. 본 논문에서는 인터넷에서 수집한 악성 로더를 실행함과 동시에 프로파일링을 수행하여, 논문에서 제시한 에이전트 기반의 필터링 시스템에서 유지해야 하는 프로파일 레코드의 수를 확인함으로써 구현된 시스템의 효용성을 확인한다.
본 논문에서는 악성 로더를 이용하여 어플리케이션에 대한 해킹 위협에 대한 방어를 할 수 있는 프로파일 기반의 보안 방법을 제시하고, 이에 대한 구현 및 시험을 수행하였다. 최근까지도 안티바이러스나 안티스파이웨어 프로그램에서 악성 로더에 대해서는 탐지 및 치료 대상으로 포함시키지 않고 있다.

제안 방법

본 논문에서는 로더의 바이너리 데이터를 분석하고, 로더가 사용하는 Win32 API를 후킹하여 API와 파라미터의 사용형태를 분석하는 프로파일링 기법을 사용한다. 시험을 통해 분석한 결과 본 논문에서 제시한 프로파일 식별자에 의한 탐지가 매우 효과적이었으며, 사용자 시스템에서 실행되는 프로세스, 대상 클라이언트에 접근하는 로더가 사용하는 API를 분석하여 공격을 탐지 할 수 있었다.
하지만 이런 기법들은 오래전부터 활용되어 왔음에도 불구하고 소프트웨어를 보호하기 위한 대안으로 자리 잡지 못하고 있다. 본 논문에서는 복사 방지에 주안점을 두지 않고 설치된 프로그램에 대한 오남용을 막기 위해 실시간으로 이상상태를 탐지하여 필터링하는 방법을 제한하고 프로파일 레코드의 키로 이용되는 프로파일 식별자를 이용한 탐지 방법을 적용하였다.
하지만, 임베디드된 코드는 프로그램의 원래 수행 속도에 영향을 줄 수 있으며, 소스코드와 바이너리 코드내에 임베디드된 컴포넌트의 기능은 역공학을 통해 무력화시킬 수 있어 컴포넌트 자체를 보호하는 것은 어려운 문제이다. 본 논문에서는 별도의 에이전트로 구성되어 소스코드 변경 없이도 적용이 가능하며 API훅을 통해 API의 파라미터를 분석하여 보호 대상 프로세스로의 악의적인 접근을 차단하고 접근규칙을 생성하는 방법으로 API 프로파일링 기법을 이용하여 정상적인 접근에 대한 학습 과정을 통해 자동화된 규칙을 생성함으로써 접근규칙을 효율적으로 생성할 수 있도록 구성하였다. 또한, 실시간으로 로더 동작 상태를 탐지하여 필터링하는 방법을 제안하는 것으로 수행 중인 프로세스의 실행 파일의 임포트 어드레스 테이블 (Import Address Table)을 참조하여 API 리스트를 구하고 프로파일 레코드의 키로 이용되는 프로파일 식별자를 이용한 탐지방법에서 좋은 탐지 효과를 가지게 된다.
프로파일러는 로더가 사용하는 API를 모니터링하여 API명과 파라미터를 자동으로 수집하게 되며 수집된 데이터를 토대로 정책 테이블을 만들고, 이후에 출연하는 악성 로더에 대응하여 동작한다. 본 논문에서는 보호대상 프로세스로의 임의 접근을 막기 위해 악성 로더에 대한 시그니처 데이터베이스와 새로운 로더에 대한 자료수집과 융통성 있는 탐지 및 방어를 위해 프로파일링 기법을 함께 사용하였다.
만일 사용자가 디버거를 통해 보호 대상 프로세스를 디버깅하고자 하였을 경우 디버거에 의해 대상 프로세스의 메모리가 변경될 수 있는데, 이 부분은 디버거에 대한 시그니처를 별도로 등록하여 프로파일식별 방법과 병행하여 해결할 수 있었다. 실험 결과 시그니처를 획득하는 알고리즘은 시스템에 큰 영향을 주지 않지만, 시스템 와이드 훅의 경우는 시스템이 수행하여야 하는 메시지의 처리 과정을 증가시키므로 전체 시스템의 프로세스에 영향을 미치므로 시스템의 성능을 저하시킬 수 있는 점을 고려하여 시스템 프로세스를 제외하고 *:\test\loaders 내에서 동작하는 프로세스에 대해서만 후킹을 하도록 하였다.
CreateProcess, OpenProcess의 경우 파라미터 사용에 있어 동일한 실행파일 또는 프로세스에 접근하는 것에 대한 레코드 수는 중복횟수로 판단하였고, VirtualProtectEx, ReadProcessMemory, WriteProcessMemory 등의 일부 API는 동일한 프로세스로의 접근일지라도 접근하는 메모리 위치가 다를 경우 보호 대상 프로세스에 대한 접근 및 변경이 발생 할때 마다 별도의 레코드로 생성하였다.
제시된 프로파일 기반의 악성 로더 탐지 기법은 별도의 독립적 에이전트로 구성이 가능하며, DLL 로 구현하여 어플리케이션 개발시 직접적으로 적용이 가능하도록 설계 및 구현되었다. 일부 안티바이러스 프로그램에서 사용하는 시그니처 기반의 탐지 방법은 새로운 로더에 대한 즉각적인 탐지가 불가능하다는 단점을 가지고 있다.

대상 데이터

본 논문에서는 구현된 에이전트와 프로파일러는 WindowsXP에서 구현되었으며, 인터넷에서 수집한 악성 로더와 실험을 위해 구현된 프로그램을 대상으로 시험이 수행되었다. 프로파일러는 프로파일 레코드를 생성하기 위해 실시간으로 동작되는 시스템상의 프로세스들의 시작과 끝을 감지하고 새로운 프로세스가 시작되면 API 후킹을 통해 레코드를 생성한다.
실험에 사용된 악성 로더들은 현재 인터넷에서 사이트에 유포되어 있고, 실제 온라인 소프트웨어의 클라이언트를 공격대상으로 하고 있는 프로그램들이다. 악성 로더 샘플 대부분이 비슷한 형태를 가지며 로더가 사용하는 API의 대부분은 윈도우시스템 DLL인 Kemel32.
실험 가능한 로더를 대상으로 프로파일 레코드를 생성하였는데, 7개의 악성로더에서 생성된 레코드 수는 에서와 같은 결과를 얻을 수 있었다.
수집한 20여개의 악성 로더 중 일부는 실제 타깃이 되는 프로그램이 설치되어 있거나 실행 중일 경우만 동작하는 경우가 발생하였으며, 로더의 동작을 파악하기 위해 로더가 해당 프로세스를 찾는 방법에 따라 임의 타깃 프로그램을 구현하여 실험대상으로 사용하였다. 예를 들어 User32.

성능/효과

기법을 사용한다. 시험을 통해 분석한 결과 본 논문에서 제시한 프로파일 식별자에 의한 탐지가 매우 효과적이었으며, 사용자 시스템에서 실행되는 프로세스, 대상 클라이언트에 접근하는 로더가 사용하는 API를 분석하여 공격을 탐지 할 수 있었다.
본 논문에서는 별도의 에이전트로 구성되어 소스코드 변경 없이도 적용이 가능하며 API훅을 통해 API의 파라미터를 분석하여 보호 대상 프로세스로의 악의적인 접근을 차단하고 접근규칙을 생성하는 방법으로 API 프로파일링 기법을 이용하여 정상적인 접근에 대한 학습 과정을 통해 자동화된 규칙을 생성함으로써 접근규칙을 효율적으로 생성할 수 있도록 구성하였다. 또한, 실시간으로 로더 동작 상태를 탐지하여 필터링하는 방법을 제안하는 것으로 수행 중인 프로세스의 실행 파일의 임포트 어드레스 테이블 (Import Address Table)을 참조하여 API 리스트를 구하고 프로파일 레코드의 키로 이용되는 프로파일 식별자를 이용한 탐지방법에서 좋은 탐지 효과를 가지게 된다.

후속연구

향후 연구에서는 성능향상을 위해 시스템 성능 저하를 발생시키는 시스템 와이드 훅에 대한 대안을 마련하고, 팩된 로더에 대한 정보를 수집 및 자동 언패킹 모듈을 분석 및 구현함으로써 성능을 개선하는 연구를 수행할 것이다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 프로파일 기반 악성 로더 공격탐지 및 필터링 기법
Profile based Malicious Loader Attack Detection and Filtering Method 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

Keyword

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 프로파일 기반 악성 로더 공격탐지 및 필터링 기법 Profile based Malicious Loader Attack Detection and Filtering Method 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

Keyword

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 프로파일 기반 악성 로더 공격탐지 및 필터링 기법
Profile based Malicious Loader Attack Detection and Filtering Method 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper