선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 본 논문에서 PEID, MRC와 REMINDer의 패킹 탐지율 및 소요 시간을 비교하여 각각의 성능을 평가한다.
- 본 논문에서는 통계 처리의 신뢰성을 보장하기 위해 1,280 bytes 이상의 데이터에 대한 엔트로피를 계산하였다. 그리고 일반 PE 파일과 패킹된 PE 파일을 구분할 수 있는 기준점을 확인하기 위해 두 가지 형태로 엔트로피를 계산하였다.
- Choi가 제안하는 방법은 몇몇 패커들이 사용하는 특징을 추출하고 그 특징을 바탕으로 탐지하는 기법을 사용하였기 때문에 분석된 패킹에 대해서는 탐지가 가능하지만 그 외의 새로운 패킹에 대해서는 탐지하지 못할 가능성이 있다. 본 논문에서는 패킹의 필수적인 요소를 실험을 통해 추출하였고 엔트로피를 계산을 통해 패킹 탐지율을 높였다. 이를 통해 변형된 패킹의 탐지도 가능하다.
- MRC(MANDIANT Red Curtain)[8]는 시스템의 침해사고 대응을 위한 공개 도구이다. 이 도구는 시스템의 침해 여부를 빠르고 효과적으로 조사하기 위한 목적으로 설계되었다. PE 파일의 구조 분석을 통해 정상 파일인지 여부를 판단한다.
가설 설정
- x축은 엔트로피이고 y축은 엔트로피의 개수를 나타낸다. 그림에서 보는 것과 같이 (그림 3) 전체 파일 영역의 엔트로피는 겹치는 부분이 생긴다. 그렇기 때문에 전체 파일에 대한 엔트로피는 패킹을 탐지하기 위한 기준으로 적합하지 않다.
제안 방법
- 이와 같은 속성이 PE 파일의 실행을 위한 필수적인 요소라고 생각할 수 있는데 실제는 그렇지 않다. PE 파일 섹션의 모든 속성을 변경시켜 실험하였다.
- 그 결과 대부분의 패킹된 PE 파일의 Characteristics의 값은‘0xE00000*0’으로 나타난다. PE 파일과 마찬가지로 패킹된 PE 파일에서 위의 세 가지가 필수적인 요소인지 속성 값을 변경하여 실험하였고 결과는 다음 표와 같다.
- 이 도구는 시스템의 침해 여부를 빠르고 효과적으로 조사하기 위한 목적으로 설계되었다. PE 파일의 구조 분석을 통해 정상 파일인지 여부를 판단한다. 그리고 암호화 또는 압축 등의 회피 기법이 적용된 데이터의 경우 PE 파일의 엔트로피가 구조화된 데이터와 비교해 상대적으로 높다는 점을 이용해 가중치를 주는 방식이다.
- 이를 바탕으로 탐지 도구 ‘REMINDer (REsponse tool for Malware INDication)’를 구현하였다. 공개 도구와 구현한 도구의 탐지율 및 시간을 측정하여 성능을 평가하였다.
- 진입점 섹션일 때 해당 섹션의 Characteristics 속성이 Write가 포함되었는지를 확인하여 1차 패킹 PE 파일을 선별한다. 그리고 Write 속성이 있는 섹션의 엔트로피를 계산하고 사전에 정의한 일반 PE와 패킹 PE 파일의 경계 엔트로피인 6.85와 비교함으로써 패킹을 최종 탐지 한다. 이와 같은 방식은 기존의 시그니쳐 기반의 패킹 탐지 도구보다 빠르고 정확하게 패킹 PE 파일을 탐지할 수 있다.
- 본 논문에서는 통계 처리의 신뢰성을 보장하기 위해 1,280 bytes 이상의 데이터에 대한 엔트로피를 계산하였다. 그리고 일반 PE 파일과 패킹된 PE 파일을 구분할 수 있는 기준점을 확인하기 위해 두 가지 형태로 엔트로피를 계산하였다. 첫 번째는 파일 전체의 엔트로피를 측정하는 것이다.
- 이전 연구에서 Lyda는 패킹 및 암호화된 악성코드를 찾기 위한 방법으로 Bintropy를 사용하였고, 엔트로피 메트릭스 셋을 제시하였다. 데이터 셋으로 일반 텍스트 파일, 실행 파일, 패킹된 실행 파일, 암호화된 실행파일을 선택했고, 실행 파일의 구분을 없애기 위해서 512 bytes 블록 단위로 엔트로피를 계산하였다. 실행파일의 경우 많은 블록에 0이 나타나고 그로 인해 엔트로피가 급격히 낮아지는 문제가 있어 이를 보완하기 위해 1/2 이상 0이 포함된 블록은 제외하였다.
- 침해 여부의 결과는 위협 스코어를 계산하여 조사할 필요가 있는 파일을 Red로 표현하고 의심스러운 것은 Yellow, 정상적인 PE 파일은 Green으로 나타낸다. 또한 PE 파일의 시그니쳐를 기반으로 패킹 여부를 판단한다.
- 즉 진입점 섹션의 엔트로피를 통해 일반 PE 파일과 패킹된 PE 파일을 구분할 수 있다. 본 논문에서는 패킹 탐지를 위한 요소로 진입점 섹션의 엔트로피 값을 사용한다.
- 본 논문에서는 패킹을 탐지에서 패킹의 필수적인 특징인 진입점 섹션의 ‘WRITE’ 속성과 엔트로피를 결합한 방법을 사용하였고, 패킹 탐지 도구를 구현하였다.
- 본 장에서는 패킹 PE 파일의 탐지율과 탐지 소요 시간을 측정하여 제시한 방법으로 구현한 REMINDer의 성능을 평가한다. 비교 대상은 공개 도구인 PEID와 MRC이다.
- Lyda[5]는 엔트로피 분석을 기반으로 암호화되거나 패킹된 악성코드를 탐지하는 기술에 대해 설명하였다. 분석가들이 평문과 실행파일, 패킹, 암호화 된 파일을 구분 기준으로 사용할 수 있는 패킹 혹은 암호화된 실행파일의 엔트로피 메트릭스 셋을 제시하였다. 엔트로피 계산은 바이트 자체의 의미와 상관없이 실행파일에 포함된 바이트 발생 빈도를 이용한다.
- 패킹 PE 파일 탐지 방법은 크게 시그니쳐 기반의 탐지와 엔트로피 기반의 탐지로 나눌 수 있다. 시그니쳐 기반의 탐지는 패킹 파일의 특성을 추출하고 이 룰을 바탕으로 탐지한다. 이 방법은 새로운 패커를 탐지하지 못하는 문제가 있다.
- 85 이상인 것을 패킹된 PE 파일로 판단한다. 엔트로피 계산만을 이용하여 패킹 탐지가 가능한지 실험을 통해 확인하였다. 실험 데이터로는 Windows 디렉터리의 파일 200개와 패킹 PE 파일 200개를 대상으로 하였다.
- 3장에서 일반 PE 파일과 패킹된 PE 파일을 구분할 수 있는 2가지 특징이 존재한다는 것을 실험을 통해 설명하였다. 이를 바탕으로 2가지 특성을 이용한 실험을 통해 효율적인 탐지 방안 및 순서도를 제시한다.
- 이를 바탕으로 탐지 도구 ‘REMINDer (REsponse tool for Malware INDication)’를 구현하였다.
-
<표 7> Write 속성을 이용한 패킹 탐지
지금까지의 실험을 바탕으로 오탐을 줄이기 위해서 두 가지 특징을 결합하여 실험하였다
. 엔트로피 계산에 비해 진입점 섹션의 Write 속성을 판단하는 것이 상대적으로 빠르기 때문에 Write 속성을 먼저 검사한 후에 Entropy를 계산하여 탐지 속도의 효율성을 높일 수 있다. - 패킹 PE 파일 탐지 소요 시간을 측정하기 위해 공개 패킹 탐지 도구인 PEID, MRC와 REMINDer를 비교하였다. 탐지 시간 측정에 사용한 연산기는 Pentium4 3 GHz CPU 에 2 GBytes 메모리의 PC이다.
- 패킹 파일 탐지율을 측정하기 위해 공개 패킹 탐지 도구인 PEID, MRC와 REMINDer를 비교하였다. 탐지율 평가를 위해 사용한 데이터는 ‘Windows’, ‘Program Files’ 디렉터리에서 추출한 일반 PE 파일 400개와 Honeypot에서 수집한 400개의 패킹된 파일이다.
- 하기 위해 패킹기법을 사용한다는 것에 착안하여, 패킹 PE 파일을 판단하는 것에 초점을 맞추고 있다. 패킹 파일의 탐지를 위해 PE 파일의 진입점 섹션 엔트로피를 사용하였고 오탐을 줄이기 위해 패킹된 PE 파일의 필수적인 특징을 추가하였다. 이를 바탕으로 탐지 도구 ‘REMINDer (REsponse tool for Malware INDication)’를 구현하였다.
- 본 장에서는 PE 파일의 포멧과 패킹된 PE 파일의 포맷에 대해서 알아본다. 패킹된 PE 파일의 탐지를 위해 엔트로피 실험 결과를 제시하고 오탐을 줄이기 위해 패킹 PE 파일의 필수적인 특징을 추출한다.
- 악성코드가 패킹되거나 암호화된 경우에 패킹 및 암호화된 실행 코드는 먼저 언패킹(Unpacking)을 해야 하는데, 그 전 단계로 패킹된 실행파일을 탐지해야 한다고 설명하고 있다. 패킹된 파일의 PE 헤더에는 일반적이지 않은 특징 요소가 있으며 이중 8개를 CV(Characteristic Vector)로 정의하여, 유클리디안 거리 (Euclidean distance)를 계산함으로써 패킹되지 않은 파일과 구별하였다. Choi가 제안하는 방법은 몇몇 패커들이 사용하는 특징을 추출하고 그 특징을 바탕으로 탐지하는 기법을 사용하였기 때문에 분석된 패킹에 대해서는 탐지가 가능하지만 그 외의 새로운 패킹에 대해서는 탐지하지 못할 가능성이 있다.
대상 데이터
- 탐지율 평가를 위해 사용한 데이터는 ‘Windows’, ‘Program Files’ 디렉터리에서 추출한 일반 PE 파일 400개와 Honeypot에서 수집한 400개의 패킹된 파일이다. 그 중에서 표본 데이터로 사용한 것외의 각각의 파일 200개를 사용하였다. 패킹에 사용된 패커는 UPX, Asprotect, Molebox, Pecompack, Armadillo, Pecrypt, FSG, MEW, YodaCryptor 등이다.
- 본 장에서는 패킹 PE 파일의 탐지율과 탐지 소요 시간을 측정하여 제시한 방법으로 구현한 REMINDer의 성능을 평가한다. 비교 대상은 공개 도구인 PEID와 MRC이다.
- 실험 데이터로 일반 PE 파일을 ‘Windows’, ‘Program Files’ 디렉터리에서 400개를 추출하였고, 패킹된 파일 400개를 Honeypot에서 수집하였다.
- 엔트로피 계산만을 이용하여 패킹 탐지가 가능한지 실험을 통해 확인하였다. 실험 데이터로는 Windows 디렉터리의 파일 200개와 패킹 PE 파일 200개를 대상으로 하였다. <표 6>은 진입점 섹션의 엔트로피를 이용하여 패킹 탐지율을 확인한 결과이다.
- 악성코드 사고에서는 하드디스크 전체 혹은 감염 가능한 디렉터리가 조사 대상이 되므로 많은 실행 파일이 존재하는 ‘Program Files’ 디렉터리를 대상으로 선택 하였다.
- 탐지율 평가를 위해 사용한 데이터는 ‘Windows’, ‘Program Files’ 디렉터리에서 추출한 일반 PE 파일 400개와 Honeypot에서 수집한 400개의 패킹된 파일이다.
- 그 중에서 표본 데이터로 사용한 것외의 각각의 파일 200개를 사용하였다. 패킹에 사용된 패커는 UPX, Asprotect, Molebox, Pecompack, Armadillo, Pecrypt, FSG, MEW, YodaCryptor 등이다. 탐지 결과는 다음과 같다.
이론/모형
- 엔트로피 실험에 사용된 섹션 데이터의 평균값은 118 kbytes 이다. 엔트로피 계산에는 C. Shannon이 제안한 정보 엔트로피(information entropy)[11] 계산식을 사용하였다. 정보 엔트로피는 신호나 사건에 있는 정보의 양을 엔트로피의 개념을 빌려 설명한 것이다.
성능/효과
- 그렇기 때문에 전체 파일에 대한 엔트로피는 패킹을 탐지하기 위한 기준으로 적합하지 않다. 그러나 (그림 4) 진입점 섹션의 경우 일반 PE 파일과 패킹된 PE 파일의 엔트로피 값이 확연히 구분되는 것을 알 수 있다. 즉 진입점 섹션의 엔트로피를 통해 일반 PE 파일과 패킹된 PE 파일을 구분할 수 있다.
- 본 논문에서는 패킹을 탐지에서 패킹의 필수적인 특징인 진입점 섹션의 ‘WRITE’ 속성과 엔트로피를 결합한 방법을 사용하였고, 패킹 탐지 도구를 구현하였다. 공개 도구와의 실험을 통해서 제안하는 도구의 탐지율이 높고 탐지 시간이 적게 걸리는 것을 확인하였고 성능이 향상되었음을 알 수 있다. 본 논문에서 제시한 패킹 파일 탐지 도구를 활용하면 악성코드 사고조사에서 신속하게 증거 파일을 탐지할 수 있을 것이다.
- 위의 결과를 통해 일부 미탐이 존재하나 본 논문에서 제시하는 패킹 PE 파일 탐지 도구의 성능이 다른 공개 도구에 비해 좋은 것을 확인할 수 있다.
- <표 10>의 결과에서 보는 것과 같이 제안하는 방법을 통한 탐지 도구의 성능이 월등히 좋은 것으로 확인할 수 있다. 성능평가에서는 9 기가바이트를 대상으로 탐지 시간을 측정 하였지만 최근 수백 기가바이트에서 테라바이트(Tera Bytes) 용량의 하드디스크까지 저가에 널리 유통되고 있다.
- 이용한 패킹 탐지율 실험 결과는 다음과 같다.<표 8>의 결과에서 알 수 있듯이 두 개의 패킹 특징을 조합하여 패킹 탐지의 성능이 향상되었다. Write 속성만으로 탐지할 때 생기는 오탐은 엔트로피 계산을 통해서 제거할 수 있고, 엔트로피만으로 탐지했을 때의 오탐은 Write 속성을 검사함으로써 제거할 수 있다.
- 이전 장에서 실험을 통해 확인한 바와 같이 진입점 세션의 엔트로피를 통해 패킹 PE와 일반 PE를 판단할 수 있다. 패킹된 PE 파일의 진입점 섹션의 엔트로피 범위가 6.85-7.99이고 일반 PE 파일의 진입점 섹션의 엔트 로피 범위가 4.55-6.82이므로 진입점 섹션의 엔트로피가 6.85 이상인 것을 패킹된 PE 파일로 판단한다. 엔트로피 계산만을 이용하여 패킹 탐지가 가능한지 실험을 통해 확인하였다.
후속연구
- 공개 도구와의 실험을 통해서 제안하는 도구의 탐지율이 높고 탐지 시간이 적게 걸리는 것을 확인하였고 성능이 향상되었음을 알 수 있다. 본 논문에서 제시한 패킹 파일 탐지 도구를 활용하면 악성코드 사고조사에서 신속하게 증거 파일을 탐지할 수 있을 것이다.
- 향후에는 패킹된 파일 중에서 낮은 엔트로피를 갖는 패킹 파일에 대한 탐지와 패킹된 파일 중에서 악성 여부를 판단 하는 방안에 대해 연구할 예정이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.