최근 모바일 인터넷 이용률이 급증하면서 인터넷 이용자의 웹 브라우저를 통한 사회 공학적 또는 드라이브 바이 다운로드 방식으로 악성코드 유포 공격이 확산되고 있다. 현재 드라이브 바이 다운로드 공격 방어 초점은 최종 다운로드 사이트 및 유포 경로에 초점을 두어 진행되어 왔으나 공격 초기 악성코드를 주입하는 인젝션 사이트에 대한 특성 탐지 및 차단에 대해서는 충분히 연구되지 않았다. 본 논문에서는 이러한 악성 코드 다운로드 공격에 대한 방어메커니즘 향상을 목적으로, 악성코드 다운로드의 핵심 근원지인 인젝션 사이트를 탐지하는 방안에 대해서 연구한다. 결과적으로 악성코드의 확산을 방지하기 위해 다운로드 공격의 최종 사이트를 탐지 및 차단하는 현재의 URL 블랙리스트 기법에 추가하여, 악성코드를 주입하는 인젝션 사이트를 탐지 특징을 추출 하는 방안을 제시한다. 또한 URL 블랙리스트 기반의 접근법과 비교하여 악성코드 감염률을 효율적으로 최소화 할 수 있는 방안임을 보인다.
최근 모바일 인터넷 이용률이 급증하면서 인터넷 이용자의 웹 브라우저를 통한 사회 공학적 또는 드라이브 바이 다운로드 방식으로 악성코드 유포 공격이 확산되고 있다. 현재 드라이브 바이 다운로드 공격 방어 초점은 최종 다운로드 사이트 및 유포 경로에 초점을 두어 진행되어 왔으나 공격 초기 악성코드를 주입하는 인젝션 사이트에 대한 특성 탐지 및 차단에 대해서는 충분히 연구되지 않았다. 본 논문에서는 이러한 악성 코드 다운로드 공격에 대한 방어메커니즘 향상을 목적으로, 악성코드 다운로드의 핵심 근원지인 인젝션 사이트를 탐지하는 방안에 대해서 연구한다. 결과적으로 악성코드의 확산을 방지하기 위해 다운로드 공격의 최종 사이트를 탐지 및 차단하는 현재의 URL 블랙리스트 기법에 추가하여, 악성코드를 주입하는 인젝션 사이트를 탐지 특징을 추출 하는 방안을 제시한다. 또한 URL 블랙리스트 기반의 접근법과 비교하여 악성코드 감염률을 효율적으로 최소화 할 수 있는 방안임을 보인다.
Recently, as mobile internet usage has been increasing rapidly, malware attacks through user's web browsers has been spreading in a way of social engineering or drive-by downloading. Existing defense mechanism against drive-by download attack mainly focused on final download sites and distribution p...
Recently, as mobile internet usage has been increasing rapidly, malware attacks through user's web browsers has been spreading in a way of social engineering or drive-by downloading. Existing defense mechanism against drive-by download attack mainly focused on final download sites and distribution paths. However, detection and prevention of injection sites to inject malicious code into the comprised websites have not been fully investigated. In this paper, for the purpose of improving defense mechanisms against these malware downloads attacks, we focus on detecting the injection site which is the key source of malware downloads spreading. As a result, in addition to the current URL blacklist techniques, we proposed the enhanced method which adds features of detecting the injection site to prevent the malware spreading. We empirically show that the proposed method can effectively minimize malware infections by blocking the source of the infection spreading, compared to other approaches of the URL blacklisting that directly uses the drive-by browser exploits.
Recently, as mobile internet usage has been increasing rapidly, malware attacks through user's web browsers has been spreading in a way of social engineering or drive-by downloading. Existing defense mechanism against drive-by download attack mainly focused on final download sites and distribution paths. However, detection and prevention of injection sites to inject malicious code into the comprised websites have not been fully investigated. In this paper, for the purpose of improving defense mechanisms against these malware downloads attacks, we focus on detecting the injection site which is the key source of malware downloads spreading. As a result, in addition to the current URL blacklist techniques, we proposed the enhanced method which adds features of detecting the injection site to prevent the malware spreading. We empirically show that the proposed method can effectively minimize malware infections by blocking the source of the infection spreading, compared to other approaches of the URL blacklisting that directly uses the drive-by browser exploits.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
또한 근본 원인을 해결하지 않으면 이후에 사이트가 다시 해킹당할 수 있다. 따라서 본 연구에서는 유포의 근원이 되는 3번 인젝션 사이트를 식별하기 위하여 인젝션 사이트의 특성을 분석하고 이를 기반으로 탐지 시그니처를 추가했을 때 전체적인 방어효율이 개선될 수 있음 보인다.
이는 피해자가 공격에 이르도록 브라우저를 사용할 때 일반적인 브라우저 User-Agent 스트링을 발생하는 공통점을 가지고 있다. 본 논문에서는 상기 연구동향에 따라 공격 특징이 명확하고 사용자의 심리적인 판단에 따른 사회 공학적 공격보다는 사용자가 미인지적으로 공격당하여 탐지하기 어려운 드라이브 바이 다운로드 공격에 대해서 분석한다.
본 논문에서는 악성코드 유포 근원지가 되는 인젝션 사이트를 탐지하는 특성을 다수의 공격경로를 분석 및 통계적으로 추출하여 악성코드 감염공격에 대한 방어 효율을 높이는 방안을 제시하였다. 본 연구에서는 수동 분석으로 샘플 50개의 악성코드를 적용하였지만 자동화된 도구로 대규모 네트워크에 일정기간 적용하여 실제적인 피해감소율을 측정 및 비교하여 효율성에 대한 세부적인 연구를 향후 추진해야할 예정이다.
이런 방법으로 많은 인터넷 사용자가 자신도 모르게 랜섬웨어에 감염되어 자신의 파일들을 모두 인질이 되는 사건이 빈번히 발생되고 있다[1]. 본 논문에서는 이러한 악성 코드 다운로드 공격에 대한 방어메커니즘 향상을 목적으로, 악성코드 다운로드의 핵심 근원지인 인젝션 사이트를 탐지하는 방안에 대해서 연구한다. 먼저 최종 악성코드의 다운로드에 선행하는 경유지(hopping site)를 역 추적하여 피해자가 어떻게 최종 다운로드 사이트에 도달하는지를 분석 한다.
이상과 같은 기존 방어기법은 악의적인 코드가 삽입된 근원지 URL을 차단한 것 보다는 주로 실제 드라이브 바이 익스플로잇 또는 악성코드 다운로드가 가능토록 하는 공격 사이트의 URL을 차단하는 것에 의존한다. 이와 달리 본 연구에서는 다운로드의 원인을 분류하고 공격에 포함된 도메인의 역할과 기능을 식별하여 어떻게 사용자가 공격사이트에 유도되었는지를 분석하는 방법을 제안한다. 본 기법은 URL 블랙리스트 기반 접근방안에 추가하여 드라이브 바이 다운로드공격의 피해율을 최소화할 수 있다.
제안 방법
이러한 방법들은 기존 연구에서 이미 많이 알려져 있다. 랜딩사이트면서 코드를 주입하는 사이트는 인젝션사이트가 확실하며, 리디렉션 수가 특정 수(N) 이상이며 도메인 에이지가 특정 수(D) 이하 일 경우 의심되는 사이트로 판단되어 재분석을 수행한다. 랜딩사이트와 동일한 도메인일 경우에도 의심되는 사이트로 판단되어 재분석을 수행한다.
랜딩사이트면서 코드를 주입하는 사이트는 인젝션사이트가 확실하며, 리디렉션 수가 특정 수(N) 이상이며 도메인 에이지가 특정 수(D) 이하 일 경우 의심되는 사이트로 판단되어 재분석을 수행한다. 랜딩사이트와 동일한 도메인일 경우에도 의심되는 사이트로 판단되어 재분석을 수행한다. 특정수는 악성코드 도메인별로 상이함으로 본 흐름도 에서는 변수로 정의하였다.
그림 3은 [10]에 공개된 악성 웹 도메인 목록(Immortal Malware Domains)중 한 사이트를 역추적 분석하여 각 경유 사이트의 기능을 식별한 결과를 나타내고 있다. 리디렉션 체인을 재구성하여 전체 웹 경로를 재구성하고 각 사이트 간 관계를 규명하였다. 이렇게 반복적인 분석을 100건을 수행한 결과 몇 가지 인젝션 노드가 갖는 공통적인 특징을 추출해낼 수 있었다.
본 논문에서는 이러한 악성 코드 다운로드 공격에 대한 방어메커니즘 향상을 목적으로, 악성코드 다운로드의 핵심 근원지인 인젝션 사이트를 탐지하는 방안에 대해서 연구한다. 먼저 최종 악성코드의 다운로드에 선행하는 경유지(hopping site)를 역 추적하여 피해자가 어떻게 최종 다운로드 사이트에 도달하는지를 분석 한다. 결과적으로 악성코드의 확산을 방지하기 위해 다운로드 공격의 최종 사이트를 탐지 및 차단하는 현재의 URL 블랙리스트 기법에 추가하여, 악성코드를 주입하는 인젝션 사이트를 탐지하는 특징을 추출하여 악성코드 감염률을 최소화 할 수 있는 방안을 제시한다.
인젝션 사이트 특성 분석을 위해 [10] 사이트에 공개된 악성 도메인 목록을 분석한 결과 다음과 같은 인젝션 사이트의 특성을 추출하였다.
대상 데이터
인젝션 사이트 탐지 특성의 성능을 측정하기 위해 인터넷 악성도메인 정보 사이트 [11] 를 참고하여 50개를 매칭 및 분석했다. 먼저 드라이브 바이 다운로드 공격의 경로 구분되는 각 단계별 탐지율을 구글의 세이프 브라우징(GSB), ESET Smart Security와 제안한 기법과 비교한 결과는 표 2와 같다.
이론/모형
분석 결과 대부분 인젝션 도메인은 랜딩 도메인과 상이하며 랜딩사이트의 식별은 Mekky[7]의 기법을 활용하여 식별하였다. 인젝션 사이트는 iframe 태그가 코딩된 랜딩사이트의 소스 코드를 가지고 있는 저장소가 되며 웹브라우저의 취약성을 검사하는 프로빙 사이트나 유사한 또 다른 사이트로 리디렉션을 진행한다.
성능/효과
각 제품과의 비교상의 참고사항은 제안하는 기법을 적요할 때는 수동으로 웹 소스와 트래픽을 직접 분석하였기 때문에 모든 단계에서의 탐지율이 상대적으로 높게 나왔다고 볼 수도 있다. 이는 본 연구 목적상 인젝션 사이트 탐지에 대한 효율성을 보이기 위한 것임으로 향후 현재의 수동 분석 기법을 자동화하여 객관적으로 분석 비교하는 것이 필요하다.
먼저 최종 악성코드의 다운로드에 선행하는 경유지(hopping site)를 역 추적하여 피해자가 어떻게 최종 다운로드 사이트에 도달하는지를 분석 한다. 결과적으로 악성코드의 확산을 방지하기 위해 다운로드 공격의 최종 사이트를 탐지 및 차단하는 현재의 URL 블랙리스트 기법에 추가하여, 악성코드를 주입하는 인젝션 사이트를 탐지하는 특징을 추출하여 악성코드 감염률을 최소화 할 수 있는 방안을 제시한다.
이와 달리 본 연구에서는 다운로드의 원인을 분류하고 공격에 포함된 도메인의 역할과 기능을 식별하여 어떻게 사용자가 공격사이트에 유도되었는지를 분석하는 방법을 제안한다. 본 기법은 URL 블랙리스트 기반 접근방안에 추가하여 드라이브 바이 다운로드공격의 피해율을 최소화할 수 있다.
제안하는 탐지기법은 다른 제품보다 특히 인젝션 사이트 탐지율 효율이 28 ~ 48% 높게 나옴을 알 수 있다. 표 3에서는 50개의 도메인을 분석할 때 인젝션 사이트를 탐지해내는 각 특성의 확률을 나타내고 있다.
후속연구
본 논문에서는 악성코드 유포 근원지가 되는 인젝션 사이트를 탐지하는 특성을 다수의 공격경로를 분석 및 통계적으로 추출하여 악성코드 감염공격에 대한 방어 효율을 높이는 방안을 제시하였다. 본 연구에서는 수동 분석으로 샘플 50개의 악성코드를 적용하였지만 자동화된 도구로 대규모 네트워크에 일정기간 적용하여 실제적인 피해감소율을 측정 및 비교하여 효율성에 대한 세부적인 연구를 향후 추진해야할 예정이다.
각 제품과의 비교상의 참고사항은 제안하는 기법을 적요할 때는 수동으로 웹 소스와 트래픽을 직접 분석하였기 때문에 모든 단계에서의 탐지율이 상대적으로 높게 나왔다고 볼 수도 있다. 이는 본 연구 목적상 인젝션 사이트 탐지에 대한 효율성을 보이기 위한 것임으로 향후 현재의 수동 분석 기법을 자동화하여 객관적으로 분석 비교하는 것이 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
도메인 평판체계의 역할은 무엇인가?
도메인(URL) 기반의 정적블랙리스트를 이용하는 도메인 평판체계[3]는 도메인에 대한 악성 점수를 제공하여 사용자가 악의적인 웹사이트를 방문하는 것을 차단한다. 각 사이트에 대한 역할이나 기능을 정의하지는 않는다.
클라이언트 허니팟의 단점은 무엇인가?
클라이언트 허니팟[5]은 웹사이트에 방문하여 시스템 변경을 관찰하거나 악의적인 콘텐츠에 대한 반응분석을 통하여 드라이브 바이 다운로드를 탐지하나 수집 할 수 있는 웹사이트 수에 제한이 있고 속도가 느린 단점이 있다. Static crawlers[6]은 휴리스틱 방법을 이용하여 악의적으로 판단되는 웹의 콘텐츠를 필터링하여 탐지한다.
실행 가능한 평판시스템은 어떤 것에 초점을 두었는가?
최근에는 시그니처 기반의 백신의 제한사항을 보완한 실행 가능한 평판시스템이 제안되었다[4]. 이는 탐지 기반을 콘텐츠 특징을 이용하는 것이 아니라 악성코드의 분배 구조 특성에 초점을 두었다. 하지만 이는 사용자가 어떻게 악의적인 실행파일을 다운받았는지 등의 정보는 제공하지 못한다.
참고문헌 (11)
The Register' article. [Internet]. Available : http://www.theregister.co.uk/2016/03/09/trend_micro_ransomware_iot_threat_rise/
M. Antonakakis, et al., "Detecting Malware Domains at the Upper DNS Hierarchy," In USENIX Security, vol. 11. pp. 1-16, 2011.
P. Vadrevum et al., "Measuring and detecting malware downloads in live network traffic," In ESORICS. pp. 556-573, 2013.
J. Nazario, et al., "A virtual client honeypot," In Proceedings of the 2nd USENIX Conference on LEET., vol 9, pp 911-919, 2009.
N. Provos, et al., "The ghost in the browser analysis of webbased malware," In Proceedings of the First Conference on First Workshop on HotBots, vol 7, pp 4-13, 2007.
H. Mekky, et al., "Detecting malicious http redirections using trees of user browsing activity," In INFOCOM, pp. 1159-1167, 2014.
S. Lee, et al., "A near real-time detection system for suspicious urls in twitter stream," IEEE Trans. Dependable Secur. Comput. vol. 10, no. 3, pp. 183-195, May 2013.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.