[논문]악성코드 탐지를 위한 물리 메모리 분석 기술

강영복; 황현욱; 김기범; 손기욱; 노봉남

악성코드 탐지를 위한 물리 메모리 분석 기술 원문보기

情報保護學會誌 = KIISC review, v.24 no.1, 2014년, pp.39 - 44

강영복 (전남대학교 정보보안협동과정) , 황현욱 (ETRI 부설연구소) , 김기범 (ETRI 부설연구소) , 손기욱 (ETRI 부설연구소) , 노봉남 (전남대학교 전자컴퓨터공학부)

초록
AI-Helper

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 물리 메모리 악성코드 분석을 위한 악성행위 탐지 기술 방법에 대해 설명하였다. 또한 물리 메모리 포렌식 도구에서 제공하는 메모리 악성코드 탐지 기능에 대한 비교 및 분석을 수행 하였다.
본 논문에서는 윈도우 물리 메모리 분석 절차를 기술하고, 현재까지 연구된 메모리에서의 악성코드 탐지 방법을 설명한다. 또한 다양한 물리 메모리 포렌식 도구에서 제공하고 있는 악성코드 탐지 기능을 비교하여 그 특징을 분석하였다.

제안 방법

본 논문에서는 윈도우 물리 메모리 분석 절차를 기술하고, 현재까지 연구된 메모리에서의 악성코드 탐지 방법을 설명한다. 또한 다양한 물리 메모리 포렌식 도구에서 제공하고 있는 악성코드 탐지 기능을 비교하여 그 특징을 분석하였다.
본 논문에서는 물리 메모리 악성코드 분석을 위한 악성행위 탐지 기술 방법에 대해 설명하였다. 또한 물리 메모리 포렌식 도구에서 제공하는 메모리 악성코드 탐지 기능에 대한 비교 및 분석을 수행 하였다. 현재 물리 메모리에서의 악성코드 탐지를 위해 코드인젝션 탐지, 비정상 코드에서 사용하는 커널 구조체 분석 등 다양한 연구가 수행되고 있다.
총 6가지의 악성 행위에 대해 악성 행위 탐지 결과를 분석하였다. 물리 메모리 악성코드 탐지 기능 비교 과정에서 Responder, RedLine 도구는 오픈소스가 아니기 때문에 특정 기존 분석된 악성코드 또는 악성행위를 수행하는 샘플 코드를 이용하여 실험 테스트를 수행하였다.
1단계 과정에서는 분석 대상 물리 메모리의 운영 체제 정보 및 페이지 모드를 판단한다. 분석 대상 물리 메모리의 운영체제 정보 및 페이징 모드를 파악하기 위해서는 KDBG 구조체 정보를 카빙[3] 및 카빙된 구조체 크기 및 내부 플래그 값을 분석한다[4]. 2단계 과정에서는 OS 버전에 따른 커널 구조체를 메모리에서 카빙하는 것이다.
2단계 과정에서는 OS 버전에 따른 커널 구조체를 메모리에서 카빙하는 것이다. 분석된 OS 정보를 바탕으로 버전별 메모리에 저장된 커널 구조체를 카빙을 수행한다. 카빙하는 주요 커널 구조체는 실행중인 프로세스를 관리하는 구조체와 관련된 카빙가능한 모든 구조체를 카빙 한다.
Volatility[9], Responder[10], RedLine[11] 에서 제공하는 물리 메모리 악성코드 탐지 기능 비교는 표 2와 같다. 총 6가지의 악성 행위에 대해 악성 행위 탐지 결과를 분석하였다. 물리 메모리 악성코드 탐지 기능 비교 과정에서 Responder, RedLine 도구는 오픈소스가 아니기 때문에 특정 기존 분석된 악성코드 또는 악성행위를 수행하는 샘플 코드를 이용하여 실험 테스트를 수행하였다.
현재 악성코드는 사회적으로 많은 보안 이슈를 발생시키고 있으며, 최근 다양해진 감염 경로를 통해 악성코드에 쉽게 노출될 수 있다. 취약한 시스템에 악성코드가 감염되면 개인정보 유출뿐만 아니라 금융정보 탈취, 봇넷을 이용한 DDoS 공격, 그리고 지능화된 APT 공격 등의 보안 위협이 발생할 수 있다 이러한 악성코드를 탐지하기 위해 기존에는 하드디스크 분석을 기반으로 실행 파일 정보 추출 및 레지스트리 분석 등을 통해 탐지를 수행하였다. 하드디스크 기반 악성코드 탐지 방법에서는 실행되지 않는 파일정보를 분석하기 때문에 패킹된 악성코드나 메모리 상주형 악성코드 탐지에 많은 어려움이 있다.

대상 데이터

4단계에서는 유저 메모리영역에 저장된 주요 프로세스를 정보를 추출한다. 유저영역 프로세스에서 실행중인 쓰레드 정보, 로드 모듈 정보, 소켓 정보 등을 추출한다.

성능/효과

RedLine 도구에서는 Responder 도구의 실험 결과와 유사하게 코드인젝션 및 은닉 모듈 탐지에 대해 악성코드 종류 및 실험 테스트 방법에 따라 탐지 결과가 다르게 나오는 것을 확인할 수 있었다. RedLine 도구에서는 실행중인 프로세스를 중심으로 악성행위 탐지 기능을 제공한다.
Responder 도구의 코드인젝션 탐지, IAT 후킹 탐지 실험 결과 악성코드 종류 및 실험 테스트 방법에 따라 탐지 결과가 다르게 나오는 것을 확인할 수 있었다. Responder 도구에서는 기존에 안티 바이러스 제품에서 탐지되는 악성코드의 행위에 대해서는 완벽하게 탐지한다.
Volatility 악성코드 탐지 기능 비교 결과 실험에서 비교한 모든 악성 행위에 대해서 탐지할 수 있는 것을 알 수 있었다. 하지만 Volatility 도구에서는 콘솔 기반으로 분석 결과가 출력되기 때문에 분석 결과에 대해 분석자가 직접 결과를 분석 하고 악성 행위 유무를 판단해야 하는 특징이 있다.
RedLine 도구에서는 실행중인 프로세스를 중심으로 악성행위 탐지 기능을 제공한다. 은닉 모듈 탐지 부분의 기능에서는 Volatility와 다르게 은닉 모듈 또는 의심 모듈을 탐지를 위한 모듈 로드 순서를 확인할 수 있는 기능을 추가적으로 제공하는 것을 알 수 있었다.
Responder 도구에서는 기존에 안티 바이러스 제품에서 탐지되는 악성코드의 행위에 대해서는 완벽하게 탐지한다. 하지만 신규 악성코드에서 사용하는 악성행위 및 악성 행위를 수행하는 테스트 코드에 대해서는 완벽하게 탐지를 수행하지 못하는 것을 알 수 있었다.
현재 개발된 물리 메모리 포렌식 도구에서 제공하는 악성코드 탐지 기능을 비교 분석을 수행한 결과 은닉 프로세스 탐지, SSDT 후킹 탐지, IRP 후킹은 탐지는 정확하게 수행할 수 있었다. 하지만 코드인젝션 탐지, 은닉 모듈 탐지, IAT 후킹 탐지는 분석 도구만을 이용한 정확한 탐지가 어렵다는 것을 알 수 있었다. 또한 기존의 물리 메모리에서는 개별적인 악성코드 방법의 문제점을 해결하고자 Responder, RedLine에서는 악성행위 코드 시그니처화 및 스코링 방식을 이용한 통합 분석 기능을 제공하고 있는 것을 알 수 있다.
현재 개발된 물리 메모리 포렌식 도구에서 제공하는 악성코드 탐지 기능을 비교 분석을 수행한 결과 은닉 프로세스 탐지, SSDT 후킹 탐지, IRP 후킹은 탐지는 정확하게 수행할 수 있었다. 하지만 코드인젝션 탐지, 은닉 모듈 탐지, IAT 후킹 탐지는 분석 도구만을 이용한 정확한 탐지가 어렵다는 것을 알 수 있었다.

후속연구

향후 연구로는 본 논문에서 조사한 물리 메모리 악성 코드 탐지 도구 기능의 개선점을 기반으로 메모리 기반의 악성코드 분석 및 연관된 악성행위 분석을 수행하기 위한 프레임워크를 개발할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	VAD 구조체는 무엇을 포함하는가?	물리 메모리 분석환경에서 프로세스 로드 메모리 영역을 검사하기 위해서는 일반적으로 VAD[5] 구조체 정보를 이용한다. VAD 구조체 는 해당 메모리 영역의 타입과 권한 정보를 포함하고 있다. 메모리 영역의 타입은 힙(Heap)과 이미지(Image) 타입으로 구분되며, 이미지 타입의 경우, 실제 파일 데이터가 로드되어 있다.
	메모리 포렌식의 장점은?	기존의 하드디스크 기반의 악성코드 탐지의 문제점을 해결하고자 최근에는 물리 메모리 덤프 데이터를 이용한 악성코드 탐지 연구가 진행되고 있다. 메모리 포렌식을 이용하면 언패킹, 루트킷 탐지, 리버스 엔지니어링 등에 많은 도움이 된다[1]. 또한 메모리 포렌식을 이용하면 메모리 덤프 시점에서 실행중인 프로세스 정보, 네트워크 정보, 레지스트리 정보 등 다양한 정보를 활용할 수 있다는 장점이 있다[2]. 최근엔 컴퓨터가 널리 보급되어 이용되어지고, 대용량 저장장치도 널리 보급되었기 때문에 기존 하드디스크 분석 방법과 유사하게 손쉽게 메모리 덤프이미지를 획득하고 분석이 가능하다.
	분석 대상 물리 메모리에서 시스템정보를 수집하는 4단계는 무엇인가?	총 4가지 단계에 따라 분석 대상 물리 메모리에서 시스템정보를 수집할 수 있다. 1단계 과정에서는 분석 대상 물리 메모리의 운영 체제 정보 및 페이지 모드를 판단한다. 분석 대상 물리 메모리의 운영체제 정보 및 페이징 모드를 파악하기 위해서는 KDBG 구조체 정보를 카빙[3] 및 카빙된 구조체 크기 및 내부 플래그 값을 분석한다[4]. 2단계 과정에서는 OS 버전에 따른 커널 구조체를 메모리에서 카빙하는 것이다. 분석된 OS 정보를 바탕으로 버전별 메모리에 저장된 커널 구조체를 카빙을 수행한다. 카빙하는 주요 커널 구조체는 실행중인 프로세스를 관리하는 구조체와 관련된 카빙가능한 모든 구조체를 카빙 한다. 3단계 과정에서는 카빙된 커널 구조체를 이용하여 커널 메모리 영역에 저장된 정보를 추출한다. 커널 드라이버, 커널 모듈, 네트워크 정보 등을 추출할 수 있다. 4단계에서는 유저 메모리영역에 저장된 주요 프로세스를 정보를 추출한다. 유저영역 프로세스에서 실행중인 쓰레드 정보, 로드 모듈 정보, 소켓 정보 등을 추출한다.

참고문헌 (13)

Michael Hale Ligh, Steven Adair, Blake Hartstein, Mathew Richard, "Malware Analyst's Cookbook and DVD", 에이콘 출판사, pp.715-749, May 2012.
Mariusz Burdach, "Finding Digital Evidence In Physical Memory", Black Hat USA, Feb 2006.
Volatility, https://code.google.com/p/volatility/wiki /CommandReference23#kdbgscan, 2013.
James Okolica, Gilbert L. Peterson, "Windows operating systems agnostic memory analysis", DIGITAL INVESTIGATION 7, pp.48-56, May 2010.

상세보기
Brendan Dolan-Gavitt, "The VAD tree: A process- eye view of physical memory", DIGITAL INVESTIGATION S4, pp.62-64, Jun 2007.
Raashid Bhat, "Code Injectin on Window", Strudent Computer Security 2BE, Sep 2011.
Elia Floio, "When Malware Meets Rootkits", Symantect Security Response, 2005.
Muteb Alzaidi, Ahmed Alasiri, "The Study of SSDT Hook through Comparative Analysis between Live Response and Memory Image", Master of Information Systems Security Research 2012 Convocation, 2013.
Volatility, https://code.google.com/p/volatility/, 2013.
HBGary, http://hbgary.com/products/responder_pro, 2013.
MANDIANT Redline, http://www.mandiant.com/ resources/download/redline, 2013.
MANDIANT Redline, "Redline User Guide", MANDIANT, 2012.
Michael J. Graven, "Finding Evil In Memory", Ninjacon 11, Jun 2011.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증