[논문]역난독화를 위한 바이너리 프로그램 슬라이싱

목성균; 전현구; 조은선

doi:10.13089/jkiisc.2017.27.1.59

[국내논문] 역난독화를 위한 바이너리 프로그램 슬라이싱
Program Slicing for Binary code Deobfuscation 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.1, 2017년, pp.59 - 66

초록
AI-Helper

해커들이 자신들이 만든 악성코드의 분석을 어렵게 하기 위하여 코드 난독화 기법을 적용하고 있다. 최근의 난독화 기법은 가상화 난독화 기법을 통해 원래의 코드를 바이트코드로 만들고 가상머신이 이를 실행시키는 방식으로, 실행시키기 전에는 원래의 코드를 알 수가 없다. 프로그램 슬라이싱은 프로그램 분석기술 중 하나로 슬라이싱 기준을 정하고 그와 관련된 문장을 추출해내는 기술이다. 본 논문에서는 슬라이싱 기법을 사용하여 난독화를 해제하는 방법을 제시한다.

Abstract ▼ AI-Helper

Hackers have obfuscated their malware to avoid being analyzed. Recently, obfuscation tools translate original codes into bytecodes to use virtualized-obfuscation, so that bytecodes are executed by virtual machines. In such cases, malware analysts fail to know about the malware before execution of the codes. We found that program slicing is one of promising program analysis techniques to solve this problem. The main concepts of program slice include slicing criteria given by analysts and sliced statements according to the slicing criteria. This paper proposes a deobfuscation method based on program slicing technique.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

난독화 해제 연구 중 가장 두드러진 연구는 시스템콜을 중심으로 테인트 분석을 하여 의미 있는 명령어를 추출하는 연구이다. 본 논문에서는 이와 유사한 접근 방법을 사용해서 프로그램 슬라이싱을 통한 난독화 해제 방법을 제시하고자 한다.
본 논문에서는 프로그램 동적 슬라이싱 기법을 사용하여 난독화된 코드를 해제했을 때 트레이스 수에 대해 비교 실험한 결과를 소개하였다. 특히 가상화난독화와 같이 트레이스 수가 너무 많고 복잡하여 난독화 해제에 어려움이 있는 경우를 주요 대상으로 하였다.

제안 방법

여기서 슬라이싱의 기준은 변수 또는 특정한 문장이 될 수 있다. 기준을 정한 뒤, 기준에 영향을 주는 문장들을 추출한다. 어떤 지점의 변수가 기준일 경우, 변수에 영향을 주는 모든 변수들을 추출한다.
슬라이싱에서 PDG를 통해 제어 의존성을 반영하는 것처럼 테인트 분석에서도 제어 의존에 관해서 테인트 분석을 한다. 테인트 분석에서는 정적 분석을 통해 CFG(Control Flow Graph)와 pdom(postdominator) 트리를 만든 뒤, 이를 바탕으로 제어 의존에 관한 테인트 분석을 제안한다.
슬라이싱에서 PDG를 통해 제어 의존성을 반영하는 것처럼 테인트 분석에서도 제어 의존에 관해서 테인트 분석을 한다. 테인트 분석에서는 정적 분석을 통해 CFG(Control Flow Graph)와 pdom(postdominator) 트리를 만든 뒤, 이를 바탕으로 제어 의존에 관한 테인트 분석을 제안한다. 하지만슬라이싱 기술에서 오래전부터 PDG를 통해 제어 의존성을 반영한 분석을 하고 있다.
본 논문에서는 DDG만을 구현하였다. 왜냐하면 프로그램이 가상화 난독화가 되면 프로그램의 제어흐름은 바이트 코드화 되어 원래의 제어 흐름을 알 수 없게 만들어서 노이즈가 많이 생기므로 제어 의존을 제외하고 프로그램 슬라이싱을 구현하였다.
기존의 동적 오염 분석의 경우, 바이너리 트레이스를 얻는 것이 아닌 제어 흐름만을 기록함으로써, 트레이스의 크기를 줄인다. 하지만 본 논문에서는 바이너리 트레이스 전부를 기록한다. 그렇게 하는 이유는 난독화 도구가 자가 변경(self-modifying) 기법을 이용하기 때문에 실행 전에는 실제 코드를 알 수 없기 때문이다.
역방향 슬라이싱은 이러한 DDG를 바탕으로 분석을 한다. 역방향 슬라이싱의 기준은 시스템콜의 호출 지점과 인자가 된다.
본 논문에 제시된 방법은 실행 트레이스는 Pin[6]을 이용하여 추출하고, 분석 프로그램은 Python으로 작성하였다. 실험 방법은 비교적 간단한 프로그램을난독화한 뒤, 프로그램의 시스템콜 중심으로 슬라이싱 하여, 의미 없는 트레이스를 제거한 후, 제거하기 전과 후의 트레이스 개수를 비교하였다.
분석 대상 프로그램의 경우, 일단 난독화를 하기 위해서는 소스코드가 필요하기 때문에 실제 악성코드를 난독화 하여 실험할 수 없기 때문에 랜섬웨어와같이 파일을 암호화 시키는 프로그램을 작성하여 실험하였다. 이 프로그램은 특정 파일을 읽어 그 파일에 암호화 알고리즘[10]을 적용하여 새로운 파일을 만들어 낸다.
분석 대상 프로그램의 경우, 일단 난독화를 하기 위해서는 소스코드가 필요하기 때문에 실제 악성코드를 난독화 하여 실험할 수 없기 때문에 랜섬웨어와같이 파일을 암호화 시키는 프로그램을 작성하여 실험하였다. 이 프로그램은 특정 파일을 읽어 그 파일에 암호화 알고리즘[10]을 적용하여 새로운 파일을 만들어 낸다. 난독화 도구는 Code Virtuailizer[7]를 사용하였다.
난독화 도구는 Code Virtuailizer[7]를 사용하였다. 거기에 난독화 옵션을 다르게 만든 후, 각각을 난독화 1과 난독화 2로 명명한 뒤, 실험하였다.
추가적으로 난독화와 비슷한 기능을 하는 패킹 도구에서도 효과가 있는지 오픈 소스인 UPX[11]와 자체 제작한¹⁾ 패킹 도구로 실험 하였다. 앞서 난독화실험과 같은 대상 프로그램으로 실험 결과, 트레이스의 크기는 각각 409,945개와 290,122개로 약 67%, 약 18%로 증가하였다.

대상 데이터

실험 환경은 VMware[9]로 가상머신을 구축하여 실험하였다. 가상머신 사양은 CPU i7-2600, RAM 2GB, Ubuntu 15.
본 논문에서는 프로그램 동적 슬라이싱 기법을 사용하여 난독화된 코드를 해제했을 때 트레이스 수에 대해 비교 실험한 결과를 소개하였다. 특히 가상화난독화와 같이 트레이스 수가 너무 많고 복잡하여 난독화 해제에 어려움이 있는 경우를 주요 대상으로 하였다. 제안된 방법은 시스템 호출 기반의 트레이스추출을 기본으로 하였으며, 패킹을 비롯한 다른 난독화 기법에서도 트레이스 크기를 줄이는 효과가 있을 것으로 보인다.

데이터처리

시스템콜에 영향을 주고받는 것을 파악하기 위한 데이터 분석은 위의 def-use 분석의 결과를 바탕으로 분석한다. 이 분석을 통해 데이터 의존 그래프(DDG)를 만들어 낸다.
본 논문에 제시된 방법은 실행 트레이스는 Pin[6]을 이용하여 추출하고, 분석 프로그램은 Python으로 작성하였다. 실험 방법은 비교적 간단한 프로그램을난독화한 뒤, 프로그램의 시스템콜 중심으로 슬라이싱 하여, 의미 없는 트레이스를 제거한 후, 제거하기 전과 후의 트레이스 개수를 비교하였다.

이론/모형

본 논문에서는 역난독화를 위해서 프로그램 동적슬라이싱 기법을 이용하였다. 난독화된 프로그램은 프로그램을 실행시키기 전에는 본래 수행되는 코드를 볼 수 없다.
데이터 분석은 먼저 명령어별 def-use분석을 정의한 후 이루어진다. 각 명령어는 def 집합과 use 집합을 가진다.
이 프로그램은 특정 파일을 읽어 그 파일에 암호화 알고리즘[10]을 적용하여 새로운 파일을 만들어 낸다. 난독화 도구는 Code Virtuailizer[7]를 사용하였다. 거기에 난독화 옵션을 다르게 만든 후, 각각을 난독화 1과 난독화 2로 명명한 뒤, 실험하였다.

성능/효과

특히 가상화난독화와 같이 트레이스 수가 너무 많고 복잡하여 난독화 해제에 어려움이 있는 경우를 주요 대상으로 하였다. 제안된 방법은 시스템 호출 기반의 트레이스추출을 기본으로 하였으며, 패킹을 비롯한 다른 난독화 기법에서도 트레이스 크기를 줄이는 효과가 있을 것으로 보인다. 향후에는 제어 의존 슬라이싱 등을 통해 원본 프로그램의 의미적 복원에 중점을 둔 연구를 진행할 계획이다.

후속연구

왜냐하면 프로그램이 가상화 난독화가 되면 프로그램의 제어흐름은 바이트 코드화 되어 원래의 제어 흐름을 알 수 없게 만들어서 노이즈가 많이 생기므로 제어 의존을 제외하고 프로그램 슬라이싱을 구현하였다. 향후 의미있는 제어흐름을 미리 파악하는 연구를 할 예정이다.
제안된 방법은 시스템 호출 기반의 트레이스추출을 기본으로 하였으며, 패킹을 비롯한 다른 난독화 기법에서도 트레이스 크기를 줄이는 효과가 있을 것으로 보인다. 향후에는 제어 의존 슬라이싱 등을 통해 원본 프로그램의 의미적 복원에 중점을 둔 연구를 진행할 계획이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	프로그램 슬라이싱은 무엇인가?	최근의 난독화 기법은 가상화 난독화 기법을 통해 원래의 코드를 바이트코드로 만들고 가상머신이 이를 실행시키는 방식으로, 실행시키기 전에는 원래의 코드를 알 수가 없다. 프로그램 슬라이싱은 프로그램 분석기술 중 하나로 슬라이싱 기준을 정하고 그와 관련된 문장을 추출해내는 기술이다. 본 논문에서는 슬라이싱 기법을 사용하여 난독화를 해제하는 방법을 제시한다.
	해커들이 코드 난독화을 적용하는 이유는?	해커들이 자신들이 만든 악성코드의 분석을 어렵게 하기 위하여 코드 난독화 기법을 적용하고 있다. 최근의 난독화 기법은 가상화 난독화 기법을 통해 원래의 코드를 바이트코드로 만들고 가상머신이 이를 실행시키는 방식으로, 실행시키기 전에는 원래의 코드를 알 수가 없다.
	난독화의 예시는 무엇인가?	난독화는 비교적 쉬운 명령어를 이해하기 어려운 명령어로 바꾸거나 의미 없는 코드를 삽입하는 방식으로 이루어진다. 예를 들면 ‘mov eax, ecx’를‘push ecx, pop eax’와 같이 변환한다. ecx의 값을eax에 대입하는 코드이다. ‘push ecx, pop eax’는 스택을 거치지만 결국은 ecx의 값이 eax로 대입하는 코드이다. 이와 같은 방식으로 잘 사용되지 않는 방식으로 코드를 변환하여 분석을 어렵게 한다.

참고문헌 (15)

K.Coogan, G.Lu and S.Debray, "Deobfuscation of Virtualization-Obfuscated Software," Proceedings of the 18th ACM Conference on Computer and Communications Security, pp. 275-284, Oct, 2011.
B.Yadegari and S.Debray, "Bit-level Taint Analysis," 14th IEEE International Working Conference on Source Code Analysis and Manipulation, pp. 255-264, Sep, 2014
N.Sasirekha, A. Edwin Robert and M.Hemalatha, "Program slicing techniques and its applications," International Journal of Software Engineering and Applications, vol. 2 no. 3, pp. 50-64, July, 2011
X.Zhang, R.Gupta and Y.Zhang, "Precise Dynamic Slicing Algorithms," Proceedings of the 25th International Conference on Software Engineering, pp. 319-329, May, 2003
T.Dullien and S.Porst, "REIL: A platform-independent intermediate representation of dissassembled code for static code analysis," CanSecWest 2009, 2009
Pin, https://software.intel.com/en-us/a rticles/pin-a-dynamic-binary-instrume ntation-tool
CodeVirualizer, http://oreans.com/codevirtua lizer.php
H.Agrawal and Joseph R. Horgan, "Dynamic Program Slicing," Proceedings of the ACM SIGPLAN'90 Conference on Programming Language Design and Implementation, pp. 246-256, June, 1990
VMware, http://www.vmware.com/kr.html
https://github.com/tarequeh/DES
UPX, https://upx.github.io/
VDT, https://github.com/rrbranco/VDT
D.Kim and S.Kim, "Triaging Crashes with Backward Taint Analysis for ARM Architecture," Black Hat EUROPE 2015, Nov, 2015
M.Sharif, A.Lanzi, J.Giffin and W.Lee, "Automatic Reverse Engineering of Malware Emulators," 30th IEEE Symposium on Security and Privacy, pp.94-109, May, 2009
midgetpack, https://github.com/arisada/midgetpack

저자의 다른 논문 :

LOADING...

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증