2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성 관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.
2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성 관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.
According to the statistics of SecurityFocus in 2008, client-side attacks through the Microsoft Internet Explorer have increased by more than 50%. In this paper, we have implemented a behavior-based malicious web page detection system and a blacklist-based malicious web page filtering system. To do ...
According to the statistics of SecurityFocus in 2008, client-side attacks through the Microsoft Internet Explorer have increased by more than 50%. In this paper, we have implemented a behavior-based malicious web page detection system and a blacklist-based malicious web page filtering system. To do this, we first efficiently collected the target URLs by constructing a crawling system. The malicious URL detection system, run on a specific server, visits and renders actively the collected web pages under virtual machine environment. To detect whether each web page is malicious or not, the system state changes of the virtual machine are checked after rendering the page. If abnormal state changes are detected, we conclude the rendered web page is malicious, and insert it into the blacklist of malicious web pages. The malicious URL filtering system, run on the web client machine, filters malicious web pages based on the blacklist when a user visits web sites. We have enhanced system performance by automatically handling message boxes at the time of ULR analysis on the detection system. Experimental results show that the game sites contain up to three times more malicious pages than the other sites, and many attacks incur a file creation and a registry key modification.
According to the statistics of SecurityFocus in 2008, client-side attacks through the Microsoft Internet Explorer have increased by more than 50%. In this paper, we have implemented a behavior-based malicious web page detection system and a blacklist-based malicious web page filtering system. To do this, we first efficiently collected the target URLs by constructing a crawling system. The malicious URL detection system, run on a specific server, visits and renders actively the collected web pages under virtual machine environment. To detect whether each web page is malicious or not, the system state changes of the virtual machine are checked after rendering the page. If abnormal state changes are detected, we conclude the rendered web page is malicious, and insert it into the blacklist of malicious web pages. The malicious URL filtering system, run on the web client machine, filters malicious web pages based on the blacklist when a user visits web sites. We have enhanced system performance by automatically handling message boxes at the time of ULR analysis on the detection system. Experimental results show that the game sites contain up to three times more malicious pages than the other sites, and many attacks incur a file creation and a registry key modification.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 대상 URL들의 분석 . 탐지를 고속화하기 위해 메시지 박스를 자동으로 처리하였다.
그러나 웹 해킹과 악성코드 유포 공격이 결합되면서 해결책을 찾기가 쉽지 않다. 본 논문에서는 악성 웹 사이트에 의한 보안 위협을 최소화하는 방안을 체계적으로 제안하였다. 즉, 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위기반으로 사용자 시스템의 보안 침해여부를 판단하는 악성 URL 탐지 및 필터링 시스템을 구현하였다.
exe 파일에 쓰기 이벤트가 모니터링되면 그 URL을 악성으로 간주하여 블랙리스트에 포함한다. 본 연구에서는 규칙 파일에 새로운 규칙을 추가하였다. 예로 수많은 URL들을 빠르게 분석하기 위해, IE-Toy를 사용하여 특정 웹 페이지 브라우징 시 나타나는 메시지박스를 자동으로 처리하였다.
악성 웹 사이트에 의한 보안 위협을 최소화하기 위해본 논문에서는 악성 URL 탐지 및 필터링 시스템을 제안한다. 그림 3과 같이 본 논문에서 제안하는 시스템은 크게 "관리자 부분”(크롤러가 수집한 URL들 중 악성 URL을 탐지하여 블랙리스트로 관리하는 시스템)과 "사용자 부분”(블랙리스트 기반으로 악성 URL을 필터링하는 클라이언트 시스템)으로 구성된다.
일종의 이중체크 기법이다. 자가진단은 행동기반 동적 분석기의 감염 가능성을 고려하여 진단하는 것을 목적으로 한다. 즉, 자가 진단을 통해서 운영체제 이미지의 오염을 검증한다.
제안 방법
그림 3과 같이 본 논문에서 제안하는 시스템은 크게 "관리자 부분”(크롤러가 수집한 URL들 중 악성 URL을 탐지하여 블랙리스트로 관리하는 시스템)과 "사용자 부분”(블랙리스트 기반으로 악성 URL을 필터링하는 클라이언트 시스템)으로 구성된다. 즉, 관리자 부분은 크롤러가 수집한 웹 페이지(URL)들을 분석하면서 악성 웹 페이지를 탐지한 후, 악성 웹 페이지들만 블랙리스트저장소에 관리하는 모듈이다.
분류하여 실험해 보았다. 각 카테고리 페이지는 Google과 Naver 검색 엔진을 통하여 무작위로 수집하여 시작 URL(Seed URL)을 찾았다. 하위의 파생 페이지는 시작URL을 직접 클릭하여 링크를 이동하면서 파생 URL들을 수집하여 실험하였다.
대상 웹 페이지 방문 시에 가상머신 상의 파일 시스템, 레지스트리, 프로세스의 상태 변화를 모니터링하고발생된 이벤트들에 대해 생성된 리포트를 분석하여, 악성 웹 페이지를 판정한다. 이때 규칙파일을 이용하여 이벤트 유형(event type)과 객체 이름에 의해 특정 이벤트를 무시(omission, 생략)하거나 포함(inclusion)할 수 있다.
6을 설치하였다. 또한, 마이크로소프트 비주얼 C++ Redistributable Libraries(SPl)와 IE Toy L8버전을 설치하였다.
설치하고 주기적으로 업데이트한다. 또한, 사용자 웹 브라우저와 연동하여 사용자가 접속하는 URL 에 대해 그 블랙리스트 기반으로 악성 유무를 판단하고, 악성 URL 접근 시에 경고 메시지를 출력하여 차단하도록 구축되었다. 이를 위해, 그림 9와 같이 사용자가 입력하는 URL이나 마우스로 클릭하는 링크 URL을 커널 수준에서 가로챈(hooking) 후 URL에 대한 MD5 해시값을 계산하여, 블랙리스트에 있는 해시 값들과 비교하도록 구현했다.
메시지 박스 자동처리했을 때와 그렇지 않을 때를 비교하기 위해 Groupl과 Group2로 나누어 실험하였다. 이때, 악성 URL의 분석에 따른 오버헤드가 존재하므로 정상적인 URL만을 대상으로 하였다.
본 논문에서 IE Toy를 적용함으로써 브라우저에서 발생하는 대부분의 메시지 박스를 제거하였다. 메시지 박스 자동처리했을 때와 그렇지 않을 때를 비교하기 위해 Groupl과 Group2로 나누어 실험하였다.
본 논문의 URL 크롤링 시스템은 시작 URL(Seed URL)을 정적분석하여 내부에 링크되어 있는 파생 URL 을 수집한다. 웹 페이지 내부에서 링크를 표현하는 방법은 크게 3가지가 있다.
본 연구에서는 좀 더 많은 신뢰성을 확보하기 위해, Guest OS 및 가상머신이 공격받아 정상 동작하지 못하는 상황까지도 고려하여 자가진단 방법을 도입하였다. 일종의 이중체크 기법이다.
사용자 인터페이스는 웹 브라우저에 플러그인 형태인 툴바로 구현되었고 'On/Off 버튼'을 이용하여 분석 . 탐지 기능을 켜고 끌수 있다.
어떤 종류의 웹 사이트를 통해 악성 컨텐츠가 배포되는지 확인하기 위해서 와레즈 사이트, 게임 사이트, 성인 사이트, 쇼핑몰 사이트, 정보 및 커뮤니티 사이트의 5개로 분류하여 실험해 보았다. 각 카테고리 페이지는 Google과 Naver 검색 엔진을 통하여 무작위로 수집하여 시작 URL(Seed URL)을 찾았다.
본 연구에서는 규칙 파일에 새로운 규칙을 추가하였다. 예로 수많은 URL들을 빠르게 분석하기 위해, IE-Toy를 사용하여 특정 웹 페이지 브라우징 시 나타나는 메시지박스를 자동으로 처리하였다. 그림 5의 마지막 줄에 있는 규칙은 IE-Toy의 레지스트리 값이 iexplore에 의해 변경되는 이벤트를 무시하라는 의미로 추가되었다.
분석한다. 이때 Capture-HPC의 엔진(악성 여부를 분석해 주는 모듈)을 이용하여 실시간으로 시스템 상태를 검사한다. 이는 클라이언트-서버 방식으로 작동하며, 서버가 제시한 웹 페이지들을 가상머신 상의 클라이언트가 차례로 방문하여 클라이언트 머신의 상태 변화를 조사하고 악성 URL을 판단한다.
웹 페이지의 소스를 파싱하여 ADDRESS에 해당하는 주소 부분만을 리스팅한다. 이때 depth를 설정하여 파생URL의 범위를 정할 수 있고, 이미지나 PDF로 링크되는 URL을 제외시키기 위해 제외 규칙도 적용하여 효율적으로 크롤링하게 하였다.
또한, 사용자 웹 브라우저와 연동하여 사용자가 접속하는 URL 에 대해 그 블랙리스트 기반으로 악성 유무를 판단하고, 악성 URL 접근 시에 경고 메시지를 출력하여 차단하도록 구축되었다. 이를 위해, 그림 9와 같이 사용자가 입력하는 URL이나 마우스로 클릭하는 링크 URL을 커널 수준에서 가로챈(hooking) 후 URL에 대한 MD5 해시값을 계산하여, 블랙리스트에 있는 해시 값들과 비교하도록 구현했다. 일치하는 해시 값이 블랙리스트에 있다면, 접근하려는 웹 사이트가 악성이므로 접근하지 못하게 그림 10과 같이 경고 메시지를 주고 차단할 수 있게 하였다.
즉, 자가 진단을 통해서 운영체제 이미지의 오염을 검증한다. 자가진단 방법으로, 안전하다고 알려진 URL들(예로, 정보보호진흥원 URL, 정보보호 온라인학습장 URL, 국가보안기술연구소 URL, 구글 URL, MS URL 둥)을 일정 주기마다 모니터링하여 그 사이트가 안전하다고 판단되는지 여부를 판단한다. 한 방법으로 그림 6에 나타난 것처럼 10개의 페이지마다 한 개씩 안전한 사이트를 삽입하여 해당 로그 결과를 분석하여 악성 URL 탐지 및 분석 시스템의 오염여부를 확인할 수 있다.
필터링 시스템”으로 크게 분류할 수 있다. 즉, “악성 URL 탐지 시스템”은 웹 페이지들을 수집한 다음, 그 웹 페이지들의 악성 여부를 분석 . 탐지하여 악성 웹페이지들을 블랙리스트로 구성하여 준다.
본 논문에서는 악성 웹 사이트에 의한 보안 위협을 최소화하는 방안을 체계적으로 제안하였다. 즉, 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위기반으로 사용자 시스템의 보안 침해여부를 판단하는 악성 URL 탐지 및 필터링 시스템을 구현하였다. 이때, 자가진단 기법을 사용하여 신뢰성을 높이고, 방문 URL 의 메시지 박스를 자동으로 처리하여 메시지박스 URL 이 20%일 때 약 4.
자가진단은 행동기반 동적 분석기의 감염 가능성을 고려하여 진단하는 것을 목적으로 한다. 즉, 자가 진단을 통해서 운영체제 이미지의 오염을 검증한다. 자가진단 방법으로, 안전하다고 알려진 URL들(예로, 정보보호진흥원 URL, 정보보호 온라인학습장 URL, 국가보안기술연구소 URL, 구글 URL, MS URL 둥)을 일정 주기마다 모니터링하여 그 사이트가 안전하다고 판단되는지 여부를 판단한다.
본 논문에서는 대상 URL들의 분석 . 탐지를 고속화하기 위해 메시지 박스를 자동으로 처리하였다. 어떤 URL을 접근하게 되면 메시지 박스가 뜨는데, 경우에따라 메시지 박스의 확인 버튼을 누르지 않으면 더 이상의 브라우징이 진행되지 않아 해당 웹 페이지에 대한 분석이 에러 처리되거나, 브라우징이 완료되지 않아 상당한 시간 동안 분석 .
대상 데이터
만약 다른 페이지가 아닌 안전한 사이트에서 악성 행위가 발견되면 서버가 오염된 것으로 판단하여 새로운 OS 이미지를 리버팅하고, 서버 관리자에게 그 사실을 알린다. 본 논문에서는 안전한 사이트의 예로 구글 (www.google.co.kr), 한국인터넷진훙원(www.kisa.or.kr), 정보보호 온라인 학습장(www.sis.cr.kr) 등으로 실험하였다.
본 논문은 인텔의 Core2Quard, 8GB RAM서버에 Microsoft Server 2003을 구동시키고, Capture HPC 2.5.1 엔진을 설치하였다. 탐지시스템의 서버의 실행을 위해 선 마이크로시스템즈의 Java JRE를 설치하고, 탐지시스템의 클라이언트가 구동될 Guest OS 를 위해 WMware 서베.
'High interaction 클라이언트 허니팟’의 예로는 미국 워싱턴 대학의 Spycrawler[3], MS 허니멍키(HoneyMonkey)[7], 뉴질랜드 빅토리아 대학의 Capture-HPC 및 허니넷 프로젝트(Honey net Project)”], MITRE의 허니클라이언트 (HoneyClient) [5], Vrije University Amsterdam 의 SHELIA 등이 있다. 본 논문의 악성 웹 페이지 분석 - 탐지 시스템 구축을 위해 Capture-HPC엔진을 사용하였다.
성능/효과
이때의 결과는 표 1과 같다. URL중 20%가 메시지 박스가 있는 Groupl에서는 메시지박스를 처리했을 때 약 4.3배만큼 성능이 좋아졌고, 30%의 메시지 박스가 있는 URL Group2에서는 약 6.7배로 성능이 좋아졌다. 이로써 메시지박스를 처리했을 때 탐지속도를 높일 수 있었고, 메시지 박스를 띄우는 URL이 많을수록 성능이 더 좋아졌다.
하위의 파생 페이지는 시작URL을 직접 클릭하여 링크를 이동하면서 파생 URL들을 수집하여 실험하였다. 그 결과 게임사이트가 다른 사이트에 비해 악성비율이 약 3배 높은 것을 확인할 수 있었다.
7배 탐지속도를 높일 수 있었다. 또한 악성 URL들을 분석한 결과, 게임 사이트에서 악성 URL이 가장 많이 발견되었으며 주로 파일생성 및 레지스트리 변경 공격이 많음을 확인할 수 있었다.
수동 검사나 리스트 자동검사, 주기 반복검사 등 여러 형태의 검사 방법을 제공하며, 로그 등을 통하여 점검 결과를 파악가능하다. 본 논문과의 차이점으로 MC-Findere 규칙 기반 정적 분석 기법을 적용하며, 본 논문의 시스템은 상태 변화 기반으로 일종의 동적 분석 기법을 적용한다는 점이다. 상태 변화 기반의 탐지기법의 장점은 난독화된 코드 공격 및 알려지지 않은 공격까지도 탐지할 수 있다는 것이다.
더욱이 시그니처 기반으로 동작하는 백신의 경우, 빠르게 증가하고 있는 새로운 악성코드나 변종 악성코드를 탐지하지 못하여 피해가 더욱더 늘고 있다. 본 논문의 악성 URL 분석시스템은 시그니처 기반이 아닌 동적으로 상태변화를 모니터링하고 분석함으로써 변종 악성코드, 새로운 악성코드까지도 탐지할 수 있다는 장점이 있다.
즉, 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위기반으로 사용자 시스템의 보안 침해여부를 판단하는 악성 URL 탐지 및 필터링 시스템을 구현하였다. 이때, 자가진단 기법을 사용하여 신뢰성을 높이고, 방문 URL 의 메시지 박스를 자동으로 처리하여 메시지박스 URL 이 20%일 때 약 4.3배, 메시지박스 URL이 30%일 때 약 6.7배 탐지속도를 높일 수 있었다. 또한 악성 URL들을 분석한 결과, 게임 사이트에서 악성 URL이 가장 많이 발견되었으며 주로 파일생성 및 레지스트리 변경 공격이 많음을 확인할 수 있었다.
7배로 성능이 좋아졌다. 이로써 메시지박스를 처리했을 때 탐지속도를 높일 수 있었고, 메시지 박스를 띄우는 URL이 많을수록 성능이 더 좋아졌다.
있었다. 주로 파일생성 공격이 가장 많이 있었고, 레지스트리키 변경, 방화벽정책변경 순으로 공격비율이 높았다.
Capture-HPC의 특징은 다음과 같다. 첫째, 상태 변화에 따라 반응하는 이벤트기반 모델을 사용하여 상태 변화를 탐지함으로써 수행 속도가 빠르다, 둘째, 중앙 서버가 네트워크를 통해 수많은 클라이언트를 통제할 수 있도록 하여 확장성이 좋게 설계되었다. 셋째, 다른 클라이언트들에 적용할 수 있는 프레임워크로 되어 있다.
표 2와 같이 총 51, 856개의 URL 중 악성이라고 분류된 89개의 로그를 정적분석한 결과, False Alarm이 5개 발생 하였다. 이 중 4개는 idew.
참고문헌 (7)
N. Proves, D. McNamee, et. al., "The Ghost In The Browser Analysis of Web-based Malware," Proc. of the first USENIX workshop on hot topics in Botnets, Apr. 2007.
Niels Provos, Google's Anti-Malware Team, "All Your iFrame Are Point to Us," Google Technical Report provos-2008a, February 11, 2008.
Alexander Moshchuk, Tanya Bragin, et. al., "A Crawler-based Study of Spyware on the Web," Proc. of the 2006 Networks and Distributed System Security Symposium, pp.17-33, Feb. 2006.
Christian Seifert, "Know Your Enemy: Malicious Web Servers," The Honeynet Project, KYE paper, Aug. 2007.
Kathy Wang, "Using Honeyclients for Detection an Response Against New Attacks," MITRE, http:// www.cerias.purdue.edu/assets/symposium/2008-panels/Wang-Honeyclients-CERIAS-Symposium-18M ar08-v2.pdf
Yi-Min, et. al., "Strider HoneyMonkeys: Active, Client-Side Honeypots for Finding Malicious Websites," To be appear in IEEE Transactions on Computers, May 2007.
Yi-Min Wang, Doug Beck, et. al., "Automated Web Patrol with Strider HoneyMonkeys," Proc. of the Networks and Distributed System Security Symposium, pp.35-49, Feb. 2006.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.