[논문]코드 필터링 기법을 이용한 iOS 환경에서의 패치 분석 방법론

조제경; 류재철

doi:10.13089/jkiisc.2015.25.5.1021

초록
AI-Helper

피싱 피해의 확대에 따라 정부 및 기관의 대응이 빨라지면서 피싱 공격은 더욱 발전하여 악성코드 및 취약점 활용에까지 이어지고 있다. 최근 마이크로 소프트의 패치가 발표될 때 마다 해당 취약점을 이용한 공격 기술이 공개되고 이를 악용하는 사례가 늘어나고 있다. 따라서 방어하는 입장에서도 패치를 분석하고 대응하기 위한 기술의 수요가 증가하였으며, 이로 인하여 다양한 패치 분석 방법론이 등장하였다. 하지만 이는 마이크로 소프트 제품에 맞춘 경우가 많으며 모바일 환경을 대상으로 이루어지지는 않았다. iOS와 같은 모바일 장치의 경우 운영체제를 구성하는 파일의 크기가 작고 개수가 많기 때문에 빠르게 비교해주는 기능이 필요하다. 따라서 본 연구는 기존의 연구에서 사용하던 Control Flow Graph나 Abstract Syntax Tree 방법이 아닌 기계어 코드에 최적화된 코드 필터링 방법을 이용한 패치 비교 방법론을 연구하여 안전한 모바일 환경을 구축하기 위한 기반을 마련하고자 한다.

Abstract ▼ AI-Helper

Increasing of damage by phishing, government and organization response more rapidly. So phishing use malware and vulnerability for attack. Recently attack that use patch analysis is increased when Microsoft announce patches. Cause of that, researcher for security on defense need technology of patch ...

Increasing of damage by phishing, government and organization response more rapidly. So phishing use malware and vulnerability for attack. Recently attack that use patch analysis is increased when Microsoft announce patches. Cause of that, researcher for security on defense need technology of patch analysis. But most patch analysis are develop for Microsoft's product. Increasing of mobile environment, necessary of patch analysis on mobile is increased. But ordinary patch analysis can not use mobile environment that there is many file and small size. So we suggest this research that use code filtering instead of Control Flow Graph and Abstract Syntax Tree.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

iOS 시스템에는 3~400여개의 파일의 존재하고 있기에 속도가 느릴 경우 비교 결과를 추출하는데 많은 시간을 소모해야 한다는 단점이 있다. 따라서 본 연구에서는 기존의 대용량 악성코드 그룹화를 위하여 연구개발한 코드 필터링 기반의 코드 유사도 기법 연구[5]를 응용하여 iOS 환경에 최적화된 코드 유사도 연구를 수행하고자 한다.
최근 관심을 받고 있는 코드 유사도 연구 기술로는 실행 코드의 흐름이나 함수간의 흐름(Control Flow Graph ) 등을 분석하는 방법과 함수 내의 명령어나 주로 사용되는 커널의 기능 등을 나열하여 트리를 만들어 비교 하는 Abstract Syntax Tree 기술 등이 있다. 본 연구에서는 앞서 설명한 알고리즘을 이용한 기존 솔루션을 분석하고 발전 방향을 연구하고자 한다.
앞서 설명한 패치 파일 수집 단계에서는 기존 도구 및 기존 개념을 수행하였지만 이는 본 연구단계를 위한 필수요소로써 진행한 것이다. 본 연구의 핵심 부분으로 패치된 파일의 함수간 비교를 위한 코드 필터링(Code Filtering) 단계를 거치고 비교하고자 한다.
따라서 소스코드가 공개되어 있지 않은 실행파일에 대한 코드 유사도 연구가 필요하다. 이에 따라 기존의 소스코드가 공개되지 않은 Windows를 대상으로 이루어진 코드 유사도 연구를 분석하고 iOS 환경에 최적화된 코드 유사도 연구를 수행하고자 한다.

제안 방법

하지만 악성코드가 아닌 시스템 파일의 경우 함수의 개수가 더 많고, 짧은 코드로 이루어진 함수가 더 많은 것을 확인하였다. 따라서 기존의 악성코드 유사도 연구에서 사용하던 코드 필터링 기법을 발전시켜 함수의 이름, 위치 정보 등을 이용하여 iOS에 최적화된 방법론을 찾아낼 수 있게 되었다.
이러한 기계어 코드는 단순한 재 컴파일만으로도 위치 값(상수)이 바뀌며 변수 및 조건의 변경으로도 코드의 위치가 바뀌면서 코드를 가르키는 상수 값이 바뀐다. 따라서 본 연구에서는 기계어 코드내의 상수 값으로 표현되는 부분을 변수로 지정하였다. 변수의 대부분은 오퍼랜드라 불리는 기계어 코드의 연산자 다음에 위치하거나 레지스터 옆에 위치하게 된다.

대상 데이터

소프트웨어 라이센스(Software License) 보호를 위한 유사도 비교대상 파일 수집에는 소프트웨어를 구매하거나 인터넷에 있는 소프트웨어를 다운로드 하는 형태로 수집이 가능하며, 악성코드 그룹화를 위한 비교에 사용될 파일의 수집에는 바이러스 샘플을 제공하는 사이트인 Virustotal, Virusshare 등을 이용하여 수집한다. 하지만 본 연구를 위한 iOS 장치의 파일을 수집하기 위해서는 Firmware나 디스크 이미지 덤프를 통하여 수집을 수행하여야 한다.

성능/효과

iOS 7.1.2와 8.0의 Syslogd 파일에 대해 함수 비교를 실제 수행해 본 결과 총 574개(8.0은 577 개)의 함수가 있으며 파일 전체의 해쉬 값도 다르지만 함수 간의 해쉬값 또한 다른 것으로 확인하였다.
하지만 부트롬(Bootrom) 취약점에 의해 아이폰 4s까지의 키는 공개되어 있으며 인터넷에 각종 아이폰 연구 사이트에 공개되어 있다. 따라서 펌웨어 파일을 ZIP 알고리즘을 통해 압축해제 한 후 AES256 알고리즘과 부트롬 취약점에 의해 추출한 키를 이용하여 시스템 파일을 추출할 수 있다.
본 연구의 방법론은 기존의 다양한 악성코드를 이용하여 검증을 1차적으로 수행한 만큼 중복성의 문제는 많이 줄어든 장점이 있다. 하지만 악성코드가 아닌 시스템 파일의 경우 함수의 개수가 더 많고, 짧은 코드로 이루어진 함수가 더 많은 것을 확인하였다.
실행 파일의 디스어셈블은 IDA Pro를 이용하고 유사도 비교는 자체 개발한 프로그램을 이용하여 수행한다. 유사도 비교를 위하여 Control Flow Graph(이하 CFG) 비교 방법론을 사용하고 있으며 본 연구의 방향인 함수의 해쉬 (Hash)를 이용한 방법과는 방법론적 측면에서 속도 및 정확성에 많은 차이를 보여줄 수 있다.
최근에 공개된 기술로써 Sqlite에 비교를 원하는 파일의 정보를 저장하고 비교하는 형태를 가지고 있기에 본 연구와 유사하다고 보여질 수 있으나 비교하기 위한 함수의 정보를 추출하는 방식으로 Abstract Syntax Tree(이하 AST) 알고리즘을 사용하는 것으로 알려져 있다. 일반적인 어셈블리 비교에서는 제안하는 연구가 향상된 결과를 나타내었으며 Hexray라 불리는 디컴파일러 플러그인 기능과 AST 알고리즘을 이용할 경우 제안하는 연구보다 10%정도 나아진 결과를 보여주었다. 하지만 AST와 Hexray를 사용하는 것은 속도가 느려질 수 있다는 단점을 가지고 있기에 임베디드 환경에 적합하지 않은 문제점이 있다.
0에서는 415개의 실행파일을 추출하였다. 하지만 iOS 8.0의 415개 파일 중 iOS 7.1.2와 동일한 파일은 단 7개만 존재하였으며 기존 파일의 변경된 내용만 추출하기 위한 기법은 적용이 불가능하다는 것을 확인할 수 있다.
본 연구의 방법론은 기존의 다양한 악성코드를 이용하여 검증을 1차적으로 수행한 만큼 중복성의 문제는 많이 줄어든 장점이 있다. 하지만 악성코드가 아닌 시스템 파일의 경우 함수의 개수가 더 많고, 짧은 코드로 이루어진 함수가 더 많은 것을 확인하였다. 따라서 기존의 악성코드 유사도 연구에서 사용하던 코드 필터링 기법을 발전시켜 함수의 이름, 위치 정보 등을 이용하여 iOS에 최적화된 방법론을 찾아낼 수 있게 되었다.

후속연구

그리고 해당 파일에 맞추어져 있는 함수의 해쉬 리스트를 추출하여 비교하는 과정을 가지게 된다. 앞의 코드 필터링 모델에서 해쉬 값을 저장할 때 함수의 이름을 저장할 수 있도록 하였기 때문에 서로 다른 해쉬 리스트를 추출했을 경우 함수 이름을 기준으로 한번 더 비교를 수행할 수 있다.
iOS 장치의 펌웨어 파일을 복호화 하거나 탈옥을 통한 디스크 이미지 추출 및 DMG 마운트를 통하여 수집한 파일은 데이터베이스에 1차적으로 파일 정보가 저장된다. 저장되는 파일의 정보는 경로, 파일 전체 해쉬(MD5), 버전 정보이며 추후 파일간의 비교를 위하여 사용하게 된다.
따라서 본 연구를 통하여 임베디드 및 Closed Platform 에서의 취약점 연구를 위한 기반을 마련하였다고 볼 수 있다. 향후 기존의 도구의 함수 내 변경된 부분을 표현하거나 유사도 비교 탐지율을 더욱 발전시켜 iOS 뿐만 아니라 임베디드 및 Closed Platform에 최적화된 코드 유사도 연구를 수행하고자 한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	코드 유사도 연구에서 다른 그림은 무엇인가?	“다른 그림”은 Microsoft 제품군이나 Windows 환경에서 작동하는 소프트웨어의 패치를 분석하여 바뀐 함수를 찾아내는 연구로 현재 “다른 그림 4”까지 공개하였다[2]. IDA Pro라는 디스어셈블 프로그램의 플러그인을 이용하여 작동한다.
	Bindiff의 단점은 무엇인가?	디스 어셈블은 IDA Pro를 이용하며 사용자에게 보여주는 형태는 Java를 이용하한 GUI 형태로 보여주고 있다. Bindiff 역시 그래프 기반의 유사도 비교 연구로써 속도가 느리다는 단점을 가지고 있다.
	보안 패치가 이루어지고 추가적인 파일이나 디스크/시스템 이미지가 만들어지는 대표적인 경우에는 무엇이 있는가?	해킹 및 바이러스의 공격에 대비하여 보안 패치가 이루어지게 되며 이로 인하여 추가적인 파일이 생성되거나 디스크/시스템 이미지가 만들어지게 된다. 대표적인 경우로 PC형 운영체제의 Microsoft Windows와 모바일 운영체제의 Android, iOS가 있다. 대부분의 개발사가 패치로 인한 변경을 공지하고 자동 업데이트를 권고하고 있다.

참고문헌 (5)

Dale G Peterson. "Patch Tuesday leads to exploit Wednesday," Digital Bond, Oct. 2009
Matt Oh, "Exploit Spotting : Locating Vulnerabilities Out Of Vendor Patches Automatically," Blackhat USA, Jul. 2010
Dullien, Thomas, and Rolf Rolles. "Graph-based comparison of executable objects," SSTIC 5, 2005
Diaphora, "https://github.com/joxeankoret/diaphora"
Chan-Kyu Park, Hyong-Shik Kim, Tae jin Lee, Jae-Cheol Ryou, "Function partitioning methods for malware variant similarity comparison," Journal of The Korea Institute of Information Security & Cryptology, pp.321-330, Apr. 2015

이 논문을 인용한 문헌

저자의 다른 논문 :

LOADING...

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 코드 필터링 기법을 이용한 iOS 환경에서의 패치 분석 방법론
Efficient method for finding patched vulnerability with code filtering in Apple iOS 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (5)

이 논문을 인용한 문헌

저자의 다른 논문 :

연구과제 타임라인

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 코드 필터링 기법을 이용한 iOS 환경에서의 패치 분석 방법론 Efficient method for finding patched vulnerability with code filtering in Apple iOS 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (5)

이 논문을 인용한 문헌

저자의 다른 논문 :

조제경 (2) 류재철 (94)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 코드 필터링 기법을 이용한 iOS 환경에서의 패치 분석 방법론
Efficient method for finding patched vulnerability with code filtering in Apple iOS 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper