$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

웹 브라우저 기반 악성행위 탐지 시스템(WMDS) 설계 및 구현
Design and Implementation of Web-browser based Malicious behavior Detection System(WMDS) 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.22 no.3, 2012년, pp.667 - 677  

이영욱 (KAIST 정보보호대학원) ,  정동재 (KAIST 정보보호대학원) ,  전상훈 (KAIST 사이버보안연구센터) ,  임채호 (KAIST 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

Vulnerable web applications have been the primary method used by the attackers to spread their malware to a large number of victims. Such attacks commonly make use of malicious links to remotely execute a rather advanced malicious code. The attackers often deploy malwares that utilizes unknown vulne...

주제어

#malicious link   #web application vulnerability   #client honeypot   #dynamic analysis  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 향후에 웹 브라우저로부터 프로세스나 쓰레드 생성 또는 다운로드 이벤트 발생 시 유저가 의도한 것인지 아닌지 판단 할 수 있는 모듈을 개발 한다면 WMDS는 HIDS로서 임무를 수행 할 수 있을 것이다. 또한 본 논문을 통해 소개한 WMDS는 고 상호작용 클라이언트 허니팟이기에 WMDS와 연동이 가능한 저 상호작용 클라이언트 허니팟을 구현하여 저 상호작용 클라이언트 허니팟으로 빠른 시간에 1차적인 필터링을 하고 의심이 가는 링크를 고 상호작용 클라이언트 허니팟이 처리 하도록 하여 효율적인 하이브리드 클라이언트 허니팟을 구현해 보고자 한다.
  • 본 논문에서는 기존 시스템의 제약사항을 극복 할 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템을 제안하고자 한다. 제안 하고자 하는 시스템의 특징은 첫 번째로 최초 악성링크 방문부터 어떤 웹 어플리케이션의 취약점 공격을 시도하는지에 대한 추적이 가능한 것이고, 두 번째로는 취약점 공격 성공 후 쉘코드 실행 시 어떤 식으로 drive by download 이벤트를 생성하는 지 알 수 있고, 마지막 세 번째로는 스크립트 언어를 포함한 drive by download되는 모든 악성코드에 대해서 추적이 가능하고 자동으로 동적 분석이 가능한 것이다.
  • 본 논문의 2장을 통해 악성링크의 동향을 알아보고 각각의 웹 어플리케이션 취약점으로 인해 실행되는 쉘코드를 분석한 후 마지막으로 쉘 코드에 의해 drive by download 되는 최종 악성코드에 대해 분석하여 악성링크 방문부터 최종 악성코드가 실행되기까지의 일련의 과정을 알아보고자 한다.
  • 이 장에서는 최근 발생하고 있는 웹 어플리케이션 취약점 공격을 목적으로 하는 악성링크의 동향에 대해서 알아보겠다. 분석에 사용된 악성링크들은 Google의 Safe Browsing [16]을 통해 수집하였다.
  • 마지막 세 번째는 악성링크 방문 전 모든 메모리, 프로세스, 레지스트리의 상태를 저장해 놓고 악성링크 방문 후 변화를 비교하는 방식은 너무 오랜 시간이 걸린다는 것이다. 이러한 한계를 개선하기 위해 본 장에서는 웹 브라우저부터 시작해 웹 어플리케이션 취약점 공격에 의해 파생되는 모든 프로세스 및 쓰레드 주체의 이벤트를 탐지 해주는 모듈인 Observer를 적용한 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS를 제안하고자 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
BLADE는 무엇인가? BLADE〔6]는 웹 브라우저 기반 침입 탐지 시스템으로 웹 브라우저로부터 사용자가 허락하지 않은 실행 파일의 실행을 악성행위로 구분해 침입을 방지하는 시스템이다. 웹 브라우저를 통해서 생성되는 실행파일은 먼저 BLADE에서 제어하는 안전지대에 옮겨두고 해당 실행파일의 실행 시 사용자의 허락이 입증된 것이면 실행시키고 만약 사용자의 허락이 입증되지 않은 것이면 실행시키지 않고 격리시킨다.
웹 어플리케이션 취약점 공격은 무엇을 통해 이루어지나? 웹 어플리케이션 취약점 공격은 주로 인터넷 익스플로러와 인터넷 익스플로러의 플러그인인 Adobe Flash Player, Windows Media Player 그리고 Java Applet의 취약점을 통해 이루어진다. 이러한 공격들은 주로 악성링크를 통해 이루어지는데 최초 악성링크 접속 시 웹 브라우저의 버전을 체크하고 이어서 각종 웹 브라우저 플러그인들의 버전을 체크하여 가장 취약한 부분을 공격하는 고도화 된 형태를 띤다.
저 상호작용 클라이언트 허니팟의 장단점은? 클라이언트 허니팟은 저 상호작용 클라이언트 허니팟과 고 상호작용 클라이언트 허니팟으로 나뉘게 되는데 저 상호작용 클라이언트 허니팟은 OS 및 어플리케이션의 핵심 기능만을 구현하여 상호작용을 하게 하는 것이다. 비교적 가볍고 빠른 처리 능력이 장점이지만 OS나 어플리케이션의 모든 기능을 제공하는 것이 아니므로 모든 공격에 대한 탐지가 불가능하다. 고 상호작용 클라이언트 허니팟은 실제 OS 및 어플리케이션을 사용함으로서 제약사항이 없지만 저 상호작용 클라이언트 허니팟에 비해 속도가 느린 것이 단점이다.
질의응답 정보가 도움이 되었나요?

참고문헌 (17)

  1. JSUnpack.http://jsunpack.blogspot.com/ 

  2. JSbeautifier. http://jsbeautifier.org/ 

  3. U. Bayer, I. Habibi, D. Balzarotti, E. Kirda, and C. Kruegel, "A view on current malware behaviors," Proceedings of the 2nd USENIX conference on Large-scale exploits and emergent threats: botnets, spyware, worms, and more, pp. 8-8, 2009. 

  4. Capture-HPC. https://projects.honeynet.org/capture-hpc 

  5. Y.M. Wang, D. Beck, X. Jiang, R. Roussev, C. Verbowski, S. Chen and S. King, "Automated web patrol with strider honeymonkeys," Proceedings of the 2006 Network and Distributed System Security Symposium, pp. 35-49, 2006. 

  6. L. Lu, V. Yegneswaran, P. Porras and W. Lee, "Blade: an attack-agnostic approach for preventing drive-by malware infections." Proceedings of the 17th ACM conference on Computer and communications security, pp. 440-450, 2010. 

  7. J. Nazario, "PhoneyC: a virtual client honeypot," Proceedings of the 2nd USENIX conference on Large-scale exploits and emergent threats: botnets, spyware, worms, and more, pp. 6-6, 2009. 

  8. MITRE. Common Vulnerabilities and Exposures, 2011. http://cve.mitre.org/cgi - b i n/cvename.cgi?nameCVE-2011-3544 

  9. MITRE. Common Vulnerabilities and Exposures, 2012. http://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2012-0003 

  10. MITRE. Common Vulnerabilities and Exposures, 2011. http://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2011-2140 

  11. MITRE. Common Vulnerabilities and Exposures, 2010. http://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2010-0806 

  12. MITRE. Common Vulnerabilities and Exposures, 2011. http://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2011-0754 

  13. MITRE. Common Vulnerabilities and Exposures, 2011. http://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2011-1255 

  14. 이스트소프트(Estsoft), 알약 월간 보안동향 보고서, 2011년 12월. http://alyac.altools.co.kr/SecurityCenter/Issue/TrendReport.aspx 

  15. VirusTotal. http://www.virustotal.com/ 

  16. Google Safe Browsing. https://developers.google.com/safe-browsing/ 

  17. Alexa Top Sites. http://www.alexa.com/topsites/ 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로