[논문]변종 악성코드 유사도 비교를 위한 코드영역의 함수 분할 방법

박찬규; 김형식; 이태진; 류재철

doi:10.13089/jkiisc.2015.25.2.321

[국내논문] 변종 악성코드 유사도 비교를 위한 코드영역의 함수 분할 방법
Function partitioning methods for malware variant similarity comparison 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.2, 2015년, pp.321 - 330

박찬규 (충남대학교) , 김형식 (충남대학교) , 이태진 (한국인터넷진흥원) , 류재철 (충남대학교)

초록
AI-Helper

백신 프로그램이 일반화되면서 이를 우회하기 위한 목적으로 기존 악성 프로그램에 포함된 문자열 혹은 코드 일부가 변경된 변종 악성코드가 많이 나타나고 있다. 기존의 백신 프로그램이 시그너처에 기반한 분석을 통하여 악성 코드 여부를 판단하기 때문에 이미 알려진 악성코드라고 하더라도 일부만 변경되면 탐지하기 어려운 문제가 있었다. 본 논문에서는 해쉬값을 이용한 코드 비교 방법을 확장하여 일부만 변형된 악성코드를 손쉽게 탐지하기 위한 새로운 방법을 제안한다. 악성코드 전체에 대한 해쉬값 뿐만 아니라 함수 단위와 코드블록 단위로 해쉬값을 생성하여 일부만 일치하는지 판단하고 상수나 주소 등을 제거한 후에 해쉬값을 생성함으로써 상수나 주소 때문에 다르게 판단하는 오류를 제거하였다. 제시된 방법을 이용하여 변형된 악성코드에 숨겨진 유사성을 해쉬값 비교로 탐지할 수 있음을 확인하였다.

Abstract ▼ AI-Helper

There have been found many modified malwares which could avoid detection simply by replacing a sequence of characters or a part of code. Since the existing anti-virus program performs signature-based analysis, it is difficult to detect a malware which is slightly different from the well-known malware. This paper suggests a method of detecting modified malwares by extending a hash-value based code comparison. We generated hash values for individual functions and individual code blocks as well as the whole code, and thus use those values to find whether a pair of codes are similar in a certain degree. We also eliminated some numeric data such as constant and address before generating hash values to avoid incorrectness incurred from them. We found that the suggested method could effectively find inherent similarity between original malware and its derived ones.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 연구에서는 악성코드의 유사도 비교를 위해 코드영역에서 함수를 나누는 방법과 나눈 함수에서 함수 정보를 추출하는 방법에 대하여 제안한다. 특히 함수 정보를 추출하는 단계에서 함수 내에 포함된 상수 혹은 주소를 제거한 상태에서 이를 기본 블록(Basic block)으로 나눈 단위를 ‘코드블록(Code block)’이라 제안하고, 코드블록 단위에서 변종 악성코드의 유사도를 비교하는 방법에 대하여 제안한다.
따라서 본 연구에서는 정적분석 환경에서 유사도 비교를 수행 시 악성코드 제작 환경에 크게 영향을 받지 않는 방법에 대하여 제시하고자 한다.
본 논문에서는 변종 악성코드의 유사도 비교를 위하여 Windows 악성코드를 대상으로 함수를 나누는 방법과 나눈 함수들에서 함수 정보를 추출하는 방법에 대해 제안하였다. 본 연구에서 제안한 상수제거함수와 상수제거 함수를 기본 블록 단위로 나눈 코드 블록을 통해 유사도 비교를 할 경우 함수 단위로 비교했을 때 찾을 수 없었던 숨겨진 유사도를 찾을 수 있는 것을 확인하였다.

가설 설정

1. 함수의 첫 번째 명령어는 기본 블록의 시작주소가 된다.
2. goto/jmp 명령어의 타겟 주소가 기본 블록의 시작주소가 된다.
3. goto/jmp 명령어 바로 다음에 나오는 명령어가 기본 블록의 시작주소가 된다.

제안 방법

앞서 추출한 특징들을 Jaccard index[6]라는 계산식으로 유사도를 측정한다. 그 다음 악성코드 군집들 간에 유사도 비교를 통해 신규 악성코드의 군집을 분류한다. 계속 등장하고 있는 신규 악성코드를 처리하기 위해선 하루에 약 78만개 정도의 악성코드를 처리해야 한다.
나누어진 블록들 중에서 악성코드임을 결정지을 수 있는 블록들을 선별하여(이하 ‘주요 블록’) 주요 블록들만으로 유사도 비교를 한다.
더 나아가 상수제거 함수를 기본 블록 단위로 나누어(이하 ‘코드블록’) 이를 가지고 유사도를 비교한다(HASH 3).
본 연구에서는 Windows 실행파일 형태의 악성코드에서 코드영역을 함수와 코드블록을 나눈 다음 나누어진 부분을 해쉬값으로 생성하여 데이터베이스에 저장하는 ‘악성코드 추출 모듈(Malware Extraction Module)’에 대하여 설명한다.
앞서 제안한 함수 분할 방법과 함수 정보 추출 방법으로 유사도 비교 실험을 수행하였다. 실험은 크게 두 가지로 나누어 진행하였는데, 첫 번째는 원본 함수에서 유사성을 발견하지 못했지만 상수제거 함수에서 유사성을 발견한 경우이고, 두 번째는 상수제거 함수에서 유사성을 발견하지 못했지만 코드블록 단위에서 유사성을 발견한 경우이다. 이 장에서 사용된 해쉬값은 모두 SHA-256이다.
주요 블록 비교를 통한 악성코드 탐지 기법[4]은 악성코드로 의심되는 파일들을 대상으로 기존 악성코드들과 비교하여 유사도가 높은 경우 악성코드임을 판단할 수 있는 방법을 제시하였다. 우선 바이너리 코드를 함수와 블록 단위로 나누게 되는데 함수는 RETN 명령어를 기준으로 나누고, 블록은 분기 명령어를 기준으로 나눈다. 나누어진 블록들 중에서 악성코드임을 결정지을 수 있는 블록들을 선별하여(이하 ‘주요 블록’) 주요 블록들만으로 유사도 비교를 한다.
유사도 비교를 위해 악성코드를 정적·동적 분석을 통해 악성코드의 특징들을 추출한다.
이러한 문제를 해결하기 위해 어셈블리 코드 내에 포함된 상수 혹은 주소를 제거한 형태의 함수(이하 ‘상수제거 함수’)를 유사도 비교에 사용한다(HASH 2).
특히 함수 정보를 추출하는 단계에서 함수 내에 포함된 상수 혹은 주소를 제거한 상태에서 이를 기본 블록(Basic block)으로 나눈 단위를 ‘코드블록(Code block)’이라 제안하고, 코드블록 단위에서 변종 악성코드의 유사도를 비교하는 방법에 대하여 제안한다.

대상 데이터

함수 내의 상수 혹은 주소를 제거한 상태에서 함수 간 비교를 수행할 경우 유사성을 찾을 수 있다. 실험은 코드블록 유사도가 높은 두 파일을 실험대상으로 선정하였고, 대상이 되는 파일 A와 파일 B의 정보는 Table 1.에 설명하였다. Table 1.

데이터처리

앞서 제안한 함수 분할 방법과 함수 정보 추출 방법으로 유사도 비교 실험을 수행하였다. 실험은 크게 두 가지로 나누어 진행하였는데, 첫 번째는 원본 함수에서 유사성을 발견하지 못했지만 상수제거 함수에서 유사성을 발견한 경우이고, 두 번째는 상수제거 함수에서 유사성을 발견하지 못했지만 코드블록 단위에서 유사성을 발견한 경우이다.

이론/모형

유사도 비교를 위해 악성코드를 정적·동적 분석을 통해 악성코드의 특징들을 추출한다. 이 연구에서 정적 분석방법으로는 n-gram 코드 분석을, 동적 분석방법은 행위 분석 기반을 채택하였다. 앞서 추출한 특징들을 Jaccard index[6]라는 계산식으로 유사도를 측정한다.

성능/효과

구분한 부분은 이 함수의 코드블록이며, 서로 다른 해쉬값을 가지는 코드블록들은 색으로 표시하였다. 이를 통해 (a)의 0x00409830부터 0x00409850까지, (b)의 0x00409ae0부터 0x00409b00까지 코드블록 일부가 다른 것을 확인하였고, 표시된 부분을 제외한 대부분의 코드블록이 일치하는 것을 확인할 수 있었다. 이를 통해 유사도 관점에서는 일부 코드가 변경되었더라도 대부분의 코드가 동일하다면 유사할 가능성이 있기 때문에 어느 정도의 코드블록이 유사한지 분석하는 것은 의미가 있다.
본 논문에서는 변종 악성코드의 유사도 비교를 위하여 Windows 악성코드를 대상으로 함수를 나누는 방법과 나눈 함수들에서 함수 정보를 추출하는 방법에 대해 제안하였다. 본 연구에서 제안한 상수제거함수와 상수제거 함수를 기본 블록 단위로 나눈 코드 블록을 통해 유사도 비교를 할 경우 함수 단위로 비교했을 때 찾을 수 없었던 숨겨진 유사도를 찾을 수 있는 것을 확인하였다.
해당 연구에서 제시한 주요 블록은 API나 라이브러리 함수 혹은 사용자 지정함수의 호출이 포함된 코드이다. 제안된 방법으로 유사도 비교를 할 경우 비교 대상이 되는 블록들 중 불필요한 블록들을 줄일 수 있어 데이터베이스의 성능문제 없이도 유사도 비교를 할 수 있다. 하지만 악성코드를 제작한 환경에 따라 같은 코드를 생성하더라도 프로그램이 달라질 수 있다.

후속연구

또한 분석을 수행하는 악성코드의 수가 많아질수록 비교를 하는데 있어 엔진의 성능에 영향을 받을 수 있다. 따라서 엔진의 성능 개선에 관한 연구도 수행할 예정이다.
추후 연구에서는 여러 종류의 악성코드를 수집한 뒤, 수집한 악성코드들을 대상으로 파일들 간에 유사도를 측정할 수 있는 방법에 대해 연구하고, 여러 샘플들을 이용하여 다양한 실험을 하고자 한다. 또한 분석을 수행하는 악성코드의 수가 많아질수록 비교를 하는데 있어 엔진의 성능에 영향을 받을 수 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	코드영역에서 함수를 분할하는 방법의 각 단계는 어떠한 과정을 의미하는가?	코드영역에서 함수를 분할하는 방법은 크게 ‘프롤로그 분석’ 단계와 ‘에필로그 분석’ 단계로 나누어진다. 프롤로그 분석 단계는 함수를 시작하기 위해 스택 프레임을 생성하는 과정인 프롤로그 명령어를 기준으로 함수의 시작 위치들을 찾아나가는 과정이고, 에필로그 분석 단계는 함수에서 빠져나가기 위해 스택 프레임을 해제하는 과정인 에필로그 명령어를 기준으로 찾아나가는 과정이다.
	x86 명령어 기준으로, 대표적인 프롤로그 명령어에는 무엇이 있는가?	프롤로그 분석 단계는 코드영역을 대상으로 함수의 프롤로그 코드들을 찾아나가는 과정이다. 대표적인 프롤로그 명령어는 x86 명령어 기준, ‘push ebp, mov ebp, esp’가 있다. 본 단계에서는 코드 영역 처음부터 프롤로그 명령어를 기준으로 찾아나간다[11].
	대표적인 에필로그 명령어에는 무엇이 있는가?	에필로그 분석은 함수의 끝을 찾아 그 크기를 정하고 프롤로그 분석 단계에서 나눠지지 않은 함수들을 추가적으로 나누는 과정이다. 대표적인 에필로그 명령어로 ‘ret’가 있으며, 프롤로그 분석 단계에서 찾은 함수의 시작주소부터 에필로그 명령어를 찾아나간다. 에필로그 분석을 통해 함수의 크기를 구하고 함수의 크기만큼의 바이트 코드들로 해쉬값을 생성한다.

참고문헌 (14)

Kyoung-Soo Han, In-Kyoung Kim, and Eul-Gyu Im, "Malware Family Classification Method using API Sequential Characteristic," Journal of Security Engineering, 8(2), pp. 319-335, Apr. 2011.
Manuel Egele, Theodoor Scholte, Engin Kirda, and Christopher Kruegel, "A survey on automated dynamic malware-analysis techniques and tools," ACM Computing Surveys (CSUR), vol. 44.2, no. 6, pp. 6:1-6:42, Feb. 2012.
Ulrich Bayer, Paolo Milani Comparetti, Clemens Hlauschek, Christopher Kruegel and Engin Kirda, "Scalable, Behavior-Based Malware Clustering," Proceedings of the NDSS Symposium 2009, pp.8-11, Feb. 2009.
TaeGuen Kim, In-Kyoung Kim, and Eul-Gyu Im, "Malware Detection Method via Major Block Comparison," Journal of Security Engineering, 9(5), pp. 401-416, Oct. 2012.
Jiyong Jang, David Brumley, and Shobha Venkataraman, "BitShred: feature hashing malware for scalable triage and semantic analysis," Proceedings of the 18th ACM conference on Computer and communication security. ACM, pp. 309-320, Oct. 2011.
Jaccard index, http://en.wikipedia.org/wiki/Jaccard_index
SimMetrics, http://sourceforge.net/projects/simmetrics/
Hadoop, http://hadoop.apache.org/docs/current/
Igor Santos, Yoseba K. Penya, Jaime Devesa, and Pablo G.Bringas, "N-grams-based File Signatures for Malware Detection," Proceedings of the 11th International Conference on Enterprise Information Systems, pp. 317-320, May. 2009.
Abdurrahman Pektas, Mehmet Eris, and Tankut Acarman. "Proposal of n-gram based algorithm for malware classification," Proceedings of the 5th International Conference on Emerging Security Information, Systems and Technologies. pp. 14-18, Aug, 2011.
x86 Assembly, http://www.cs.virginia.edu/-evans/cs216/guides/x86.html
Harris Laune C., and Barton P. Miller, "Practical analysis of stripped binary code," ACM SIGARCH Computer Architecture News, vol. 33, no. 5, pp. 63-68, Dec. 2005.

상세보기
MSDN, http://msdn.microsoft.com/kokr/library/dabb5z75.aspx
Basic block, http://en.wikipedia.org/wiki/Basic_block

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증