[논문]DEX 파일을 이용한 효율적인 안드로이드 변종 악성코드 탐지 기술

박동혁; 명의정; 윤주범

doi:10.13089/jkiisc.2016.26.4.895

DEX 파일을 이용한 효율적인 안드로이드 변종 악성코드 탐지 기술
Efficient Detection of Android Mutant Malwares Using the DEX file 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.26 no.4, 2016년, pp.895 - 902

박동혁 (세종대학교) , 명의정 (세종대학교) , 윤주범 (세종대학교)

초록
AI-Helper

스마트폰 보급률이 증가하여 이용자 수가 증가함에 따라 이를 노린 보안 위협도 증가하고 있다. 특히, 안드로이드 스마트폰의 경우 국내에서 약 85%에 달하는 점유율을 보이고 있으며 안드로이드 플랫폼 특성상 리패키징이 용이하여 이를 노린 리패키징 악성코드가 꾸준히 증가하고 있다. 안드로이드 플랫폼에서는 이러한 악성코드를 방지하기 위해 다양한 탐지 기법을 제안하였지만, 정적 분석의 경우 리패키징 악성코드 탐지가 쉽지 않으며 동적 분석의 경우 안드로이드 스마트폰 자체에서 동작하기 어려운 측면이 있다. 본 논문에서는 리패키징 악성코드의 코드 재사용 특징을 이용하여 안드로이드 애플리케이션에서 DEX 파일을 추출해 역공학 과정을 거치지 않고 DEX 파일에 기록된 클래스 이름과 메소드 이름 같은 특징으로 악성코드를 정적 분석하는 방법과 이를 이용하여 리패키징 악성코드를 보다 효율적으로 탐지하는 방법을 제안한다.

Abstract ▼ AI-Helper

Smart phone distribution rate has been rising and it's security threat also has been rising. Especially Android smart phone reaches nearly 85% of domestic share. Since repackaging on android smart phone is relatively easy, the number of re-packaged malwares has shown steady increase. While many detection techniques have been proposed in order to prevent malwares, it is not easy to detect re-packaged malwares by static analysis and it is also difficult to operate dynamic analysis in android smart phone. Static analysis proposed in this paper features code reuse of repackaged malwares. We extracted DEX files from android applications and performed static analysis using class names and method names. This process doesn't not include reverse engineering, so it is possible to detect malwares efficiently.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 논문에서는 리패키징 악성코드의 코드 재사용 특징에 착안하여 기존 시그니처 매핑을 통한 탐지와 동시에 DEX 파일에 존재하는 클래스와 메소드 이름을 추출하여 미리 구축된 DB와 매핑을 통한 탐지 방법을 제안하였다.
따라서 본 논문에서는 안드로이드 플랫폼에서 수행되는 악성코드와 리패키징 기법이 적용된 변종 악성코드의 탐지를 위한 기술을 제안한다. 본 논문에서는 제안하는 탐지 방법은 APK 파일에 포함된 DEX 파일을 추출하여 DEX 파일에 기록된 클래스 (class), 메소드(method) 이름 등의 정보를 통해 DEX 파일의 역공학 과정을 거치지 않고 안드로이드 악성코드를 탐지할 수 있는 경량화된 변종 안드로이드 악성코드 탐지 기술을 제안한다.
본 논문에서는 DEX 파일 포맷에 포함된 정보를 바탕으로 애플리케이션의 역공학 과정 없이 악성코드와 위조 및 변조 악성코드를 탐지하는 방법을 제안한다. 2.

제안 방법

안드로이드 단말기 상에서 실시간 이벤트 유사도를 통한 악성 앱 탐지 방법[13]에서는 정상 애플리케이션과 악성 애플리케이션에서 발생되는 이벤트를 strace 도구를 이용하여 수집 후 이벤트 집합을 구성한다. 그리고 새로운 애플리케이션을 설치 및 실행하여 발생되는 이벤트를 strace 도구를 이용해 수집 및 미리 구성된 이벤트 집합과 이벤트 유사성을 통해 새로 설치된 애플리케이션의 악성 유무를 판별한다. 해당 방법은 설치되는 애플리케이션에 대해 실시간으로 분석 및 악성 탐지가 가능하지만 strace 도구를 통해 이벤트를 수집하는 과정에서 동적 분석과 마찬가지로 오버헤드가 크며, 정상 애플리케이션과 악성 애플리케이션에서 공통적으로 발생되는 이벤트로 구성된 악성 애플리케이션 경우 탐지율이 저하될 가능성이 있다.
는 제안 시스템의 구성도이다. 다운로드 된 APK 파일에서 DEX 파일을 추출한 뒤 먼저 오프셋 0xC에 위치한 SHA-1 시그니처를 Pattern DB에 저장된 기존 악성코드 시그니처와 비교하여 해당 APK 파일의 악성 유무를 판단한다. 이후 SHA-1패턴 비교에서 탐지하지 못한 변종 악성코드 탐지를 위해 DEX 파일에서 Method IDs 정보에 포함된 class_idx, proto_idx, name_idx 아이템을 이용해 사용된 클래스 이름과 메소드 이름을 추출하여 텍스트 파일에 저장한다.
선정 과정을 거친 후, SHA-1 시그니처 비교와 마찬가지로 구축된 DB 내 정의된 패턴을 KMP 알고리즘 (Knuth Morris Pratt algorithm)[16]을 이용하여 매칭 후 해당 APK 파일의 악성 여부를 판단한다. 따라서 제안 방법은 기존 역공학 과정을 거쳐 추출된 API를 분석하는 방법과 비교하여 경량화된 성능을 갖는다. 또한 SHA-1 시그니처 및 특정 문자열 매핑 방법과 비교하여 코드의 일부분을 수정하는 리패키징 악성코드를 탐지할 수 있는 장점이 있다.
하지만 해당 방법은 악성 클래스 정보를 추출하기 위해 애플리케이션을 디스어셈블하여 달빅 바이트 코드 명령어에 대한 빈도수를 추출한 후, 악성 여부를 판단한다. 본 논문에서는 디스어셈블과 같은 역공학 과정을 거치지 않고 DEX 파일 내의 특징으로 시그니처 비교뿐만 아니라 기존 악성코드와 유사한 변종 악성코드를 탐지하여 해당 방법과 차이점을 두었다.
따라서 본 논문에서는 안드로이드 플랫폼에서 수행되는 악성코드와 리패키징 기법이 적용된 변종 악성코드의 탐지를 위한 기술을 제안한다. 본 논문에서는 제안하는 탐지 방법은 APK 파일에 포함된 DEX 파일을 추출하여 DEX 파일에 기록된 클래스 (class), 메소드(method) 이름 등의 정보를 통해 DEX 파일의 역공학 과정을 거치지 않고 안드로이드 악성코드를 탐지할 수 있는 경량화된 변종 안드로이드 악성코드 탐지 기술을 제안한다. 본 논문의 구성은 다음과 같다.
본 장에서는 안드로이드 악성코드 탐지에 관한 기존 연구들을 정적 분석, 동적 분석, 유사도 기반 분석으로 분류하여 살펴본다.
본 장에서는 제안한 기법을 실제 안드로이드 악성 애플리케이션을 대상으로 실험하여 제안 기법의 성능을 측정한다.
성능 측정에는 실제 배포된 346개의 안드로이드 악성 애플리케이션 중 본 논문에서 다루지 않는 DEX 파일 자체에 난독화 및 암호화 기법이 적용된 악성 애플리케이션을 제외한 200개의 악성 애플리케이션으로 탐지 성능을 측정하였다. 안드로이드 악성 코드 탐지는 각 APK 파일마다 포함된 DEX 파일 안에 유일하게 존재하는 SHA-1 시그니처와 DEX 파일에서 클래스 및 메소드 이름을 추출한 텍스트 파일에서 의심되는 클래스 및 메소드 이름을 선정한 후 이를 패턴화 시켜 DB를 구성한 후, 수집한 악성 애플리케이션과 패턴 비교를 통해 탐지한다.
성능 측정에는 실제 배포된 346개의 안드로이드 악성 애플리케이션 중 본 논문에서 다루지 않는 DEX 파일 자체에 난독화 및 암호화 기법이 적용된 악성 애플리케이션을 제외한 200개의 악성 애플리케이션으로 탐지 성능을 측정하였다. 안드로이드 악성 코드 탐지는 각 APK 파일마다 포함된 DEX 파일 안에 유일하게 존재하는 SHA-1 시그니처와 DEX 파일에서 클래스 및 메소드 이름을 추출한 텍스트 파일에서 의심되는 클래스 및 메소드 이름을 선정한 후 이를 패턴화 시켜 DB를 구성한 후, 수집한 악성 애플리케이션과 패턴 비교를 통해 탐지한다.
안드로이드 악성코드 동적 분석을 위해 기존 안드로이드 플랫폼을 수정하여 악성코드 동적 분석을 수행한다. 주로 안드로이드 플랫폼에서 애플리케이션이 실제로 동작하는 DVM(Dalvik Virtual Machine)의 코드를 수정하여 사용되는 API를 추적하거나 로그를 남겨 악성 애플리케이션의 행위를 탐지한다[9].
안드로이드 악성코드 동적 분석을 위해 안드로이드 플랫폼 구조 중 리눅스 커널 계층에서 사용되는 API를 후킹하여 악성코드 동적 분석을 수행한다. 후킹 기법을 적용하기 위해 LKM(Loadable Kernel Module)[10] 또는 공유 라이브러리 파일을 삽입하여 안드로이드 플랫폼에서 발생되는 API를 모니터링하며, 이에 대한 결과로 악성코드를 탐지한다[11].
이후 SHA-1패턴 비교에서 탐지하지 못한 변종 악성코드 탐지를 위해 DEX 파일에서 Method IDs 정보에 포함된 class_idx, proto_idx, name_idx 아이템을 이용해 사용된 클래스 이름과 메소드 이름을 추출하여 텍스트 파일에 저장한다. 저장된 텍스트 파일은 Pattern DB와 비교하여 악성 여부를 탐지한다. Fig.
안드로이드 악성코드 동적 분석을 위해 안드로이드 플랫폼 구조 중 리눅스 커널 계층에서 사용되는 API를 후킹하여 악성코드 동적 분석을 수행한다. 후킹 기법을 적용하기 위해 LKM(Loadable Kernel Module)[10] 또는 공유 라이브러리 파일을 삽입하여 안드로이드 플랫폼에서 발생되는 API를 모니터링하며, 이에 대한 결과로 악성코드를 탐지한다[11]. 하지만 LKM 기법을 이용해 후킹을 적용하여 악성코드를 탐지하는 방법은 최근 안드로이드 버전 정책에 따라 개발자가 제작한 모듈을 삽입할 수 없어 임의로 안드로이드 커널 버전을 낮춰야 하는 단점이 존재한다.

대상 데이터

과 같이 DEX 파일에서 추출한 사용된 모든 클래스와 메소드 이름 중 악성행위로 의심이 되는 클래스 및 메소드 이름을 선정하여 DB 내에 패턴을 구축한다. 악성행위로 의심되는 클래스 및 메소드 이름은 미리 수집한 악성 APK 중 분석을 통해 자주 사용되는 클래스 및 메소드 이름을 선정하였다. 선정 과정을 거친 후, SHA-1 시그니처 비교와 마찬가지로 구축된 DB 내 정의된 패턴을 KMP 알고리즘 (Knuth Morris Pratt algorithm)[16]을 이용하여 매칭 후 해당 APK 파일의 악성 여부를 판단한다.

이론/모형

악성행위로 의심되는 클래스 및 메소드 이름은 미리 수집한 악성 APK 중 분석을 통해 자주 사용되는 클래스 및 메소드 이름을 선정하였다. 선정 과정을 거친 후, SHA-1 시그니처 비교와 마찬가지로 구축된 DB 내 정의된 패턴을 KMP 알고리즘 (Knuth Morris Pratt algorithm)[16]을 이용하여 매칭 후 해당 APK 파일의 악성 여부를 판단한다. 따라서 제안 방법은 기존 역공학 과정을 거쳐 추출된 API를 분석하는 방법과 비교하여 경량화된 성능을 갖는다.

성능/효과

은 제안 시스템의 탐지 비율을 나타낸 것이다. 단순 SHA-1 시그니처 패턴 탐지율는 74%이며 제안한 방법의 탐지율은 88%이다. SHA-1 패턴 비교 탐지의 경우 안티 바이러스 시스템과 동일한 탐지 방식으로 리패키징 악성 애플리케이션을 탐지하는데 있어 한계가 있다.
본 논문에서 제안한 방법은 고유 시그니처를 이용한 탐지보다 위조 및 변조된 리패키징 악성 애플리케이션에 대해서 효과적으로 대처할 수 있으며 역공학 과정을 거치지 않기 때문에 탐지에 있어 보다 경량화된 성능으로 악성 애플리케이션을 탐지할 수 있다.
1절에서 설명한 DEX 파일 포맷에서 각 섹션에서 기록된 값을 조합하여 악성코드 제작에 사용된 클래스 이름과 메소드 이름과 같은 정보를 추출한다. 제안한 방법은 기존 시그니처 기반 백신과 비교하여 정보 수집 방법은 비슷하지만 추출된 클래스 이름 및 메소드 이름은 미리 구축된 DB와 매핑(Mapping)을 통해 기존의 악성 코드 뿐만 아니라 기존 악성코드를 이용한 리패키징 악성코드 또한 탐지 할 수 있다.

후속연구

향후 위와 같은 문제점을 보완하고자 좀 더 많은 악성 애플리케이션을 분석하여 사용된 클래스와 메소드 정보를 DB로 구축하고 패턴으로 유출하는 연구를 진행할 예정이다. 또한 제안한 방법과 동시에 보다 경량화된 동적 분석에 대한 연구를 함께 진행할 예정이다.
본 논문에서 제시하는 방법을 통해 두 애플리케이션에서 공통적으로 사용되는 32번째 항목 ‘catchsms2’ 클래스 이름과 ‘abortBroadcast()’ 메소드를 DB 패턴에 포함시켜 vertu_jp.apk의 변종인 vertu_kr.apk를 탐지할 수 있으며 차후에 위의 두 애플리케이션을 리패키징한 다른 악성 애플리케이션에 대해서도 탐지가 가능하다.
또한 APK 파일 내에 포함된 DEX 파일 자체에 난독화 또는 암호화 기법의 적용하여 탐지를 우회할 가능성도 존재한다. 향후 위와 같은 문제점을 보완하고자 좀 더 많은 악성 애플리케이션을 분석하여 사용된 클래스와 메소드 정보를 DB로 구축하고 패턴으로 유출하는 연구를 진행할 예정이다. 또한 제안한 방법과 동시에 보다 경량화된 동적 분석에 대한 연구를 함께 진행할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	안드로이드 애플리케이션은 주로 어떤 언어로 작성되는가?	안드로이드 애플리케이션은 주로 자바(java)를 이용해 작성되며 컴파일(compile), 패킹(packing), 코드사인(code-sign) 과정을 통해 APK(Android application Package) 파일을 생성하고 이를 이용해 스마트폰 단말기에 애플리케이션을 설치한다. 보통 정상적인 경우 구글 플레이 스토어(Google Play Store) 또는 각 통신사 앱 마켓에서 설치할 수 있다.
	안드로이드 악성코드의 제작 방법으로 주로 사용되는 것은 무엇인가?	안드로이드 악성코드의 제작 방법에는 다양한 방법이 존재하며 특히 리패키징(repackaging) 기법이 주로 사용된다. 리패키징 기법은 정상 애플리케이션에 일부 악성 기능을 추가하여 정상 애플리케이션처럼 위장하거나 기존 안티 바이러스 시스템을 우회 하기 위해 기존 악성코드를 일부 수정하고 이를 다시 다양한 경로를 통해 배포한다.
	안드로이드 악성코드에 대한 정적 분석의 단점은 무엇인가?	안드로이드 악성코드에 대한 정적 분석은 안드로이드 플랫폼 수정이나 다른 기법의 적용 없이 악성코드의 특징만으로 탐지할 수 있어 분석에 필요한 시간과 비용이 적다는 장점이 있다[8]. 하지만 악성코드에 존재하는 고유 시그니처 또는 특정 문자열을 기반으로 탐지하기 때문에 이를 우회하고자 악성코드 제작자가 코드의 일부분을 수정하여 탐지를 회피할 수 있다는 단점이 존재한다[8]. 특히 안드로이드 애플리케이션의 경우 리패키징이 용이하여 변종 악성코드를 탐지하기 어렵다.

참고문헌 (17)

Yonhap News, http://www.yonhapnews.co.kr/bulletin/2015/07/07/0200000000AKR20150707175600017.HTML
KISA Report, http://www.ebn.co.kr/news/view/784827
"Cisco 2015 Annual Security Report," http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2014_ASR.pdf
AhnLab Tech Report, http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq19269
http://blog.trendmicro.com/trendlabssecurity-intelligence/a-look-into-repackaged-apps-and-its-role-in-the-mobile-threat-landscape/
Yajin Zhou and Xuian Jiang, "Dissecting Android Malware: Characterization and Evolution," In security and Privacy(SP), 2012 IEEE Symposium on, pp. 95-109. IEEE, May, 2012.
Tae-guen Kim and Eul-gyu Im, "Analysis Method Reuse Code to Detect Variants of Malware," Journal of The Korea Institute of information Security & Cryptology, 24(1), pp. 32-38, Feb. 2014
Moon Hwa Shin, Bo-heung Chung, Yong Sung Jeon, Jung-nyu Kim. "A Survey of Mobile Malware Detection Techniques," 2013 Electronics and Telecommunications Trends, 28(3), pp. 39-46. ETRI, Jun, 2013.
Seung-wook Min, Hyung-jin Cho, Jin-seop Shin and Jae-Cheol Ryou, "Android Malware Analysis and Detection Using Machine Learning," Journal of KIISE : Computing Practices and Letters, 19(2), pp. 95-99, Feb. 2013
Woo-tak Jung, Seung-wook Min and Jae-Cheol Ryou, "System-Level Malware Detection Methods for Android," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, pp. 745-746, Jun. 2013
Yun-sik Jeong, Seong-wook Kang, Seong-je Cho and In-sik Song, "A Kernel-based Monitoring Approach for Analyzing Malicious behavior on Android," Korea Computer Congress, pp. 127-129, Jun. 2013
Jung-tae Kim and Eul-gyu Im, "Malicious Family Detection Based on Andorid Using Similar Class Information," Jounal of Security Engineering, 10(4), pp. 441-454, Aug. 2013
You-joung Ham and Hyung-woo Lee, "Malicious Trojan Horse Application Discrimination Mechanism using Realtime Event Similarity on Android Mobile Device," Journal of Internet Computing and Services. 15(3), pp. 31-43, Jun. 2014

원문보기 상세보기
The Android Open Source Project,Dex-Dalvik Executable Format, http://source.android.com/tech/dalvik/dex-format.html
Keith Makan and Scott Alexander-Bown, Android Security Cookbook, Packt Publishing, Jul, 2013
Donald Knuth, James H. Morris, Jr, Vaughan Pratt, "Fast pattern matching in strings", SIAM Journal on Computing, Vol. 6, no. 2, pp. 323-350, 1977.

상세보기
Hotak Hong, Jinlee Lee, Won Shin and Chunhyon Chang, "Extracting Candidates of Malicious Android Applications using Static Analysis based on Sink", Korea Computer Congress, pp. 1833-1835, Jun. 2014

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증