선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 본 논문에서는 Cuckoo Sandbox를 이용하여 침해지표 자동생성 도구를 제작하고 이에 대한 검증 및 활용방안에 대해 제시하였다. 해당 도구를 통하여 Cuckoo Sandbox의 초기 분석 설정에서는 3∼5분 이내에 의심스러운 파일에 대한 침해지표를 생성할 수 있다.
- 이 실험은 자동 생성된 침해지표가 감염 시스템에서 식별 가능한 정보를 통해 효용성을 검증하기 위해 진행하였다. 이를 위해 침해지표와 감염 시스템에서 수집된 Evidence 파일의 매칭을 위한 별도의 침해 분석 도구를 개발하였다.
- 만약 실제 침해사고에서 결과분석 후 침해지표를 작성했을 때는 더욱 많은 시간이 소요될 것으로 예상된다. 이에 본 논문에서는 Cuckoo Sandbox의 분석 결과를 바탕으로 빠르고 표준화된 침해지표를 생성하는 침해지표 자동생성 도구와 이에 대한 활용 방안을 제안한다.
제안 방법
- Evidence 엘리먼트는 기존 DFIOC의 Evidence 엘리먼트를 기반으로 세분화 및 추가하였다. 침해사고 피해 시스템에서 수집된 포렌식 아티팩트는 Evidence경로에 해당하는 엘리먼트에 입력되며 매칭과정에서 침해지표의 Content가 경로 내에 같은 아티팩트가 존재하는지를 확인하여 결과를 표시한다.
- exe’ 악성코드를 분석한 뒤 수기로 침해지표를 작성하는 시간을 측정하였다.
- 두 번째 방법은 별도로 악성코드를 수집하여 침해지표 자동생성 도구를 통하여 생성된 침해지표와 기존의 침해사고에서 제작한 최종 침해지표 리스트를 종합하여 침해지표 DB를 제작하는 것이다. 이를 통해 침해사고 발생 시 침해지표 DB에 존재하는 침해지표를 수집한 Evidence와 매칭을 하여 빠른 시간 내에 침해사고의 원인 및 경로에 대해서 식별이 가능하다.
- 두 번째는 ‘Nzogaa.exe’의 자동생성 침해지표와 가상환경에서 동일한 악성코드를 감염시킨 뒤 수집한 Evidence 파일과 매칭 결과를 확인하였다.
- 무료로 제공하는 IOC Editor 프로그램을 통해 사용자가 GUI 화면에서 직접 침해지표를 작성할 수 있다. 또한, Finder, Redline 이라는 도구를 통해 피해가 의심되는 시스템에서 정보를 수집하고 기존에 작성한 침해지표와 비교하는 기능도 제공한다. 다만, 시스템에 남는 흔적의 종류가 제한되어 있어 침해지표를 생성하는데 한계점을 가지고 있으며 수기식 작성으로 인해 많은 시간이 소모되고 관련 도구에 대한 전문적인 지식이 필요하다.
- 본 논문에서 제안하는 침해지표 자동생성 도구의 활용방법은 2가지이다. 첫 번째는 실제 침해사고에서 침해지표 생성 방법의 간소화이다.
- 침해지표의 가중치는 0에서 1사이의 값으로 악성 의심 정도를 나타내고 있다. 생성된 침해지표와 수집된 Evidence의 매칭 과정 중 종합 가중치를 계산하여 시스템 내의 침해사고 의심정도를 최종적으로 나타낸다. 종합 가중치 계산과정은 AND와 OR논리 연산에 따라 별도의 계산식을 사용한다.
- 세 번째는 유사한 흔적을 남기는 변종 악성코드인 ‘Niceware.exe’를 감염시킨 뒤 수집한 Evidence 파일과 기존 침해지표의 매칭 결과를 확인하여, 유사한 악성코드의 식별에 대한 실험을 진행하였다
- 추출한 의심스러운 파일들을 침해지표 자동생성 도구에 입력하여 임시 침해지표를 생성한다. 수집 Evidence와 매칭 및 침해사고에 대한 분석을 진행하여 더욱 정교한 최종 침해지표를 생성한다. 이 방법을 통해 기존의 방법보다 빠르게 침해지표를 생성하여 유사 침해 사고를 방지하고 식별할 수 있다.
- 이 실험은 자동 생성된 침해지표가 감염 시스템에서 식별 가능한 정보를 통해 효용성을 검증하기 위해 진행하였다. 이를 위해 침해지표와 감염 시스템에서 수집된 Evidence 파일의 매칭을 위한 별도의 침해 분석 도구를 개발하였다. Table 6은 침해 분석 도구의 결과화면에 나타나는 항목과 그에 대한 설명이다.
- 침해지표 자동생성 도구는 Cuckoo Sandbox에 입력된 파일의 분석 결과인 result dictionary를 사용하여 침해사고의 식별을 위한 포렌식 정보인 파일의 기본정보, 정적 분석정보, 동적 분석정보에서 중요한 식별정보를 추출한다. 이후 각 지표를 DFIOC포맷의 침해지표를 생성하며, 각 지표의 가중치 및 논리조합을 자동으로 구성한다. 최근에는 가상환경을 식별하여 가상 환경에서는 동작하지 않는 가상화 우회 기법이 적용된 악성코드도 존재한다.
- exe’ 악성코드를 분석한 뒤 수기로 침해지표를 작성하는 시간을 측정하였다. 참여자는 현업에서 악성코드 분석을 진행한 전문가 한명과 악성코드 분석교육을 받은 3명이 대표적인 디버깅 도구인 Ollydbg와 IDA를 사용하여 분석하였으며 DFIOC Indicator 포맷으로 침해지표를 작성하였다.
- 첫 번째는 ‘Nzogaa.exe’ 악성코드를 역공학으로 분석한 뒤 수기로 작성한 침해지표와 침해지표 자동생성 도구로 생성된 침해지표의 작성시간 및 정확도를 비교하였다.
- 침해사고 발생 시 발생 PC의 포렌식 아티팩트를 수집 및 분석하여 의심스러운 파일을 추출한다. 추출한 의심스러운 파일들을 침해지표 자동생성 도구에 입력하여 임시 침해지표를 생성한다. 수집 Evidence와 매칭 및 침해사고에 대한 분석을 진행하여 더욱 정교한 최종 침해지표를 생성한다.
- 첫 번째는 실제 침해사고에서 침해지표 생성 방법의 간소화이다. 침해사고 발생 시 발생 PC의 포렌식 아티팩트를 수집 및 분석하여 의심스러운 파일을 추출한다. 추출한 의심스러운 파일들을 침해지표 자동생성 도구에 입력하여 임시 침해지표를 생성한다.
- 침해지표 자동생성 도구는 DFIOC의 Indicator포맷에서 Content 엘리먼트 속성에 정규 표현식과 가중치 항목을 추가하고, 가중치의 범위를 0에서 1로 지정하였다. 추가로 Comment 엘리먼트에 Indicator의 설명을 입력하여 사람도 쉽게 이해할 수 있도록 개선하였다.
- 침해지표 자동생성 도구는 유사 침해사고에 대한 빠른 식별을 위해 각 Content 및 Indicator 속성 정보에 가중치를 표현하고 논리 연산에 따른 종합 가중치의 계산방법을 제시하였다. 하지만 본 논문에서 제안한 방법은 현재 초기 버전으로 향후 더 다양한 악성코드 샘플을 활용하여 딥러닝과 데이터마이닝 기법을 통해 보다 정교한 가중치 및 계산 방법에 대한 개선이 필요하다.
- Cuckoo Sandbox를 통한 악성코드의 분석결과는 크게 3가지로 구분된다. 파일 이름, 해쉬값, 사이즈 등의 입력된 파일의 기본정보, 악성 실행 파일을 구성하고 있는 Section,Resource 등 정적 분석정보, 마지막으로 악성코드가 실행되면서 생성하는 모든 프로세스가 호출하는 윈도우 API 정보, HTTP, TCP, UDP 등의 네트워크 통신 정보를 포함한 동적 분석정보이다. 추가로 생성 파일에 대해 별도의 항목으로 결과에 나타낸다.
대상 데이터
- 본 논문에서는 침해지표를 자동생성하기 위해 샌드박스 형태의 가상 환경을 이용하였다. 샌드박스란 컴퓨터에서 어떠한 프로그램 또는 코드를 실행할 수 있는 환경을 제공해주는 격리된 공간을 의미한다.
- 실험은 2개의 유사 행위를 하는 악성코드를 이용하여 진행하였으며 2개의 파일 이름과 해쉬값은 Table 5와 같다. 실험에 사용된 악성파일은 패킹 및 난독화가 되어 있지 않은 트로이목마 파일로써 사용자에게 거짓 악성 정보를 전달하여 치료를 위한 가짜 안티바이러스 소프트웨어를 다운로드하게 하거나 결제를 유도한다
이론/모형
- 정적 분석정보는 PE Version Info, Section List, Resource List 정보를 바탕으로 생성되며, 각 Indicator의 생성 조건은 SANS 문서[9]를 기반으로 한다. PE Version Info는 파일의 이름과 파일의 Original File Name이 같이 않고 Original File Name이 악성코드에서 주로 사용하는 기본프로세스의 이름과 동일한 경우 Internal Name, File Version, Product Name, Original File Name 4가지 Content를 AND 연산으로 그룹화하여 Indicator 를 생성한다.
- 생성된 침해지표와 수집된 Evidence의 매칭 과정 중 종합 가중치를 계산하여 시스템 내의 침해사고 의심정도를 최종적으로 나타낸다. 종합 가중치 계산과정은 AND와 OR논리 연산에 따라 별도의 계산식을 사용한다. Equation (1)은 각 논리연산에 따른 종합 가중치 계산 공식을 나타낸 것이다
성능/효과
- exe’를 감염시킨 뒤 수집한 Evidence 파일과 기존의 침해지표를 매칭한 결과이다. 결과를 살펴보면 각 Indicator의 논리조합까지 만족하는 매칭 결과가 존재하지 않기 때문에 IsExactMatch는 false가 되며 총 10개의 Content 중 4개가 매칭된 것을 확인할 수 있다. 상세 내용에서는 정적 분석정보의 Indicator 중 일부 Content의 매칭 결과가 존재하는 것을 알 수 있다.
- 요약 내용을 살펴보면 총 10개의 Content에서 9개가 매칭된 것을 확인할 수 있으며, Indicator의 논리조합을 완전히 만족하기 때문에 IsExactMatch가 true로 나타난다. 또한 4개의 Indicator 중 수집된 Evidence 파일내에 악성코드의 해쉬값이 존재하므로 연산된 종합 가중치가 1인 것을 확인할 수 있다.
- 참여자들은 악성코드의 분석을 통해 파일 열람, 동일 파일 삭제 후 재생성 등 세세한 행위 정보를 확인하였지만, 시스템에 남는 흔적을 작성하는 침해지표의 내용에는 차이가 없었다. 또한 수기 작성 시 개개인의 숙련도에 의해 작성 완료시간의 차이가 컸으며 오타로 인한 침해지표의 오탐 가능성을 확인할 수 있었다. 이에 반해 침해지표 자동생성 도구는 초기 Cuckoo Sandbox 설정에서 약 3분으로 표준화된 침해지표를 생성할 수 있었다.
- 28125인데 동적 분석결과의 Indicator의 종합가중치이며, 상대적으로 낮은 정적 분석결과의 종합가중치는 영향을 끼치지 않는다. 분석결과를 통해 유사 악성코드의 감염을 의심해 보아야 하며, 해당 파일의 생성시간을 기준으로 다운로드 및 실행한 파일을 검사함으로써 의심되는 파일의 범위를 줄일 수 있다.
- 3은 수집된 Evidence와 침해지표와의 매칭 결과를 나타낸 그림이다. 요약 내용을 살펴보면 총 10개의 Content에서 9개가 매칭된 것을 확인할 수 있으며, Indicator의 논리조합을 완전히 만족하기 때문에 IsExactMatch가 true로 나타난다. 또한 4개의 Indicator 중 수집된 Evidence 파일내에 악성코드의 해쉬값이 존재하므로 연산된 종합 가중치가 1인 것을 확인할 수 있다.
- 악성 프로그램이 실행되면서 생성된 파일과 위치는 확인할 수 있지만 파일의 해쉬가 매칭이 안 된 것을 알 수 있다. 이것에 대해서 추가로 확인 결과 해당 악성코드는 동일한 파일 이름에 무작위 값으로 구성된 파일을 생성하는 것을 알 수 있었다.
- 침해지표 자동생성 도구는 Cuckoo Sandbox에서 출력된 분석결과를 바탕으로 침해지표를 생성한다. 침해지표의 포맷은 XML 구조인 DFIOC의 Indicator 포맷을 개선하여 사용하였으며, 이를 통해 DFIOC의 Evidence 포맷으로 수집된 다양한 포렌식 아티팩트에서 침해흔적을 식별할 수 있다.
후속연구
- 침해지표 자동생성 도구는 유사 침해사고에 대한 빠른 식별을 위해 각 Content 및 Indicator 속성 정보에 가중치를 표현하고 논리 연산에 따른 종합 가중치의 계산방법을 제시하였다. 하지만 본 논문에서 제안한 방법은 현재 초기 버전으로 향후 더 다양한 악성코드 샘플을 활용하여 딥러닝과 데이터마이닝 기법을 통해 보다 정교한 가중치 및 계산 방법에 대한 개선이 필요하다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.