$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] 분석기법을 우회하는 악성코드를 분석하기 위한 프로세스 설계
A Novel Process Design for Analyzing Malicious Codes That Bypass Analysis Techniques 원문보기

정보화 정책 = Informatization policy, v.24 no.4 = no.93, 2017년, pp.68 - 78  

이경률 (순천향대학교 보안안전융합기술사업화센터) ,  이선영 (순천향대학교 정보보호학과) ,  임강빈 (순천향대학교 정보보호학과)

초록
AI-Helper 아이콘AI-Helper

악성코드는 나날이 복잡해지고 다양화되어 단순한 정보유출에서부터 시스템에 대한 심각한 피해를 유발하는 실정에 이르렀다. 이러한 악성코드를 탐지하기 위해 코드분석에 역공학을 이용하는 많은 연구가 진행되었지만, 악성코드 개발자도 분석방법을 우회하는 다양한 기법을 활용함으로써 코드분석을 어렵게 하였다. 특히, 악성코드의 감염여부조차 판단하기 어려운 루트킷 기법들이 진화하고 있고, 악성코드가 이 기법들을 흡수함으로써 그 문제의 심각성은 더욱 커지고 있다. 따라서 본 논문에서는 분석기법들을 우회하는 악성코드에 재빠르게 대응하기 위한 분석 프로세스를 설계하였다. 설계된 프로세스를 통하여 악성코드의 탐지를 더욱 효율적으로 할 수 있을 것으로 사료된다.

Abstract AI-Helper 아이콘AI-Helper

Malicious codes are currently becoming more complex and diversified, causing various problems spanning from simple information exposure to financial or psychologically critical damages. Even though many researches have studied using reverse engineering to detect these malicious codes, malicious code...

Keyword

#역공학   #분석프로세스   #악성코드   #자기방어기법   #패킹기법  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • , 2009)을 이용하고 있어 보안전문가들이 악성코드를 탐지하기 위해서는 이들 기술의 분석이 필수적이다. 따라서 본 논문은 분석기법을 우회하는 악성코드를 분석하는 프로세스를 설계하는데 그 목적이 있다. 탐지된 악성코드의 행위를 분석하기 위해 악성코드의 검출, 분석, 검증, 무력화 과정을 통하여 시스템에 침투한, 혹은 침투하는 악성코드를 치료하는 것이 가능하다.
  • 탐지된 악성코드의 행위를 분석하기 위해 악성코드의 검출, 분석, 검증, 무력화 과정을 통하여 시스템에 침투한, 혹은 침투하는 악성코드를 치료하는 것이 가능하다. 본 논문은 분석을 우회하는 기법이 적용된 악성코드를 분석하기 위한 프로세스를 설계하고 검증하며, 이를 위하여 악의적인 행위 자체를 분석하고 행위를 무력화하는 세부적인 과정은 배제하였다. 또한 이러한 악성코드는 역공학 방지 및 패킹, 난독화 기법을 사용하여 자신의 코드를 분석하기 못하도록 방해하므로 이러한 기법이 적용되더라도 악성코드를 분석하기 위한 체계적인 방안이 필요하며, 루트킷 기법을 이용하여 우회하기도 하므로 유저레벨 및 커널레벨, 혹은 복합적으로 구성된 루트킷을 분석하기 위한 절차가 요구된다.
  • 본 논문에서는 과 같이 분석기법을 우회하는 악성코드 분석 프로세스를 설계하였다.
  • 본 논문은 분석기법을 우회하는 악성코드에 보다 재빠르게 대응하기 위한 분석 프로세스를 설계하였다. 본 설계에서는 탐지단계, 무력화단계, 검출단계를 거쳐 악의적인 행위의 분석을 위한 악성코드를 확보한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
분석기법을 우회하는 악성코드를 탐지하기 위해서는 어떤 탐지를 통하여 후보를 추출하는가? 분석기법을 우회하는 악성코드를 탐지하기 위한 단계에서는 행동탐지, 존재탐지를 통하여 악성코드 후보를 추출한다. 행동탐지에서는 파일탐지, 레지스트리탐지, 프로세스탐지, 네트워크탐지를 수행하며, 존재탐지에서는 출입문보호, 메모리 스캐닝, 후킹탐지, 실행 추적을 수행한다.
악성코드가 악의적인 행위를 위하여 주로 활용하는 레지스트리를 조사하고 분석하여 악성코드를 탐지 또는 추출하고 있는 이유는 무엇인가? 따라서 악성코드에 감염된 시스템은 악의적인 행위를 수행하기 위하여 레지스트리의 추가 및 수정, 삭제 행위를 수행한다. 악성코드의 경우에는 자신이 반드시 실행되어야 하므로 부팅 시 자동으로 실행되도록 설정하는 경우가 많으며, 이러한 설정은 안티 바이러스 프로그램의 탐지를 우회하기 위해 사용되기도 한다. 이러한 이유로 악성코드가 악의적인 행위를 위하여 주로 활용하는 레지스트리를 조사하고 분석하여 악성코드를 탐지하고 추출할 수 있으며, 이를 위한 도구로는 RegMon, RegShot, Regedit 등이 있다.
현재의 악성코드가 과거의 악성코드에 비해 발생시키는 문제가 커진 이유는 무엇인가? 과거에는 악성코드의 전파속도가 느리고 감염되는 경로가 한정적이었으며, 전파기술 또한 단순한 구조였기 때문에 이에 대응하는 방안을 연구하기에 충분한 시간적 여유가 있었다. 하지만 현재의 악성코드들은 은닉기술과 자가변형 등의 기술을 흡수하면서 매우 지능화되어, 최근 가장 문제가 되고 있는 분산서비스거부공격(DDoS)을 비롯한 스팸발송 및 개인정보 탈취 등의 문제를 야기하고 있다(김지연 외, 2009; 이경률 외, 2017; Yu, et al., 2011).
질의응답 정보가 도움이 되었나요?

참고문헌 (31)

  1. 국가보안기술연구소 (2005). 코드 난독화를 이용한 악성 코드 분석 기법에 관한 연구. 대전: 국가보안기술연구소. 

  2. 김정일.이은주 (2011). "제어 흐름 난독화를 효과적으로 수행하기 위한 전략." 한국컴퓨터정보학회 논문지, 16(6): 41-50. 

  3. 김지연.이주리.박은지.장은영.김형종 (2009). "DDoS 공격 피해 규모 및 대응기법 비용분석을 위한 모델링 및 시뮬레이션 기술 연구.", 한국시뮬레이션학회논문지, 18(4): 39-47. 

    원문보기 상세보기

  4. 석재혁.김성훈.이동훈 (2013). "가상화 난독화 기법이 적용된 실행 파일 분석 및 자동화 분석 도구 구현.", 한국정보보호학회논문지, 23(4): 709-720. 

  5. 안철수연구소 (2010). "해커스 드림 2010." http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmdprint&seq17027&menu_dist1 (Retrieved on November 9, 2017). 

  6. 안철수연구소 (2017). "월간보안보고서." http://www.ahnlab.com/kr/site/securityinfo/asec/asecReportView.do?groupCodeVNI001 (Retrieved on November 9, 2017). 

  7. 이경률.임강빈 (2012). "코드은닉을 이용한 역공학 방지 악성코드 분석방법 연구." 한국항행학회논문지, 16(3): 488-494. 

    원문보기 상세보기

  8. 이경률.이선영.임강빈 (2017). "인터넷 뱅킹 서비스에서의 보안위협 분류 및 분석." 정보화정책 저널, 24(2): 20-42. 

  9. 이동휘.이상호.김귀남 (2005). "허니닛 기반의 사이버위협 조기탐지기법 연구." 한국사이버테러정보전학회 정보보증논문지, 5(4): 67-72. 

  10. 이승원 (2010a). "리버싱 관점에서 애플리케이션의 기능 추가 방법 : DLL Loading by PE Patch." 마이크로소프트웨어, 319: 204-211. 

    상세보기

  11. 이승원 (2010b). "리버싱 관점에서 애플리케이션의 기능 추가 방법, 2 : Inline Code Patch." 마이크로소프트웨어, 320: 200-205. 

    상세보기

  12. 이승원 (2010c). "리버싱 관점에서 애플리케이션의 기능 추가 방법, 3 : DLL Injection." 마이크로소프트웨어, 321: 200-207. 

    상세보기

  13. 이재휘.한재혁.이민욱.최재문.백현우.이상진 (2017). "Themida의 API 난독화 분석과 복구방안 연구." 한국정보보호학회논문지, 27(1): 67-77. 

  14. 이찬희.정윤식.조성제 (2013). "안드로이드 애플리케이션에 대한 역공학 방지 기법." 보안공학연구논문지, 10(1): 41-50. 

  15. 이태헌 (2016). "텍스트 마이닝을 이용한 정보보호인식 분석 및 강화 방안 모색." 정보화정책, 23(4): 76- 94. 

    원문보기 상세보기

  16. 정진혁.이정현 (2013). "프로가드 난독화 도구 구조 및 기능 분석." 한국통신학회논문지, 38B(8): 654-662. 

  17. 한국인터넷진흥원 (2009). 악성코드 유형에 따른 자동화 분석 방법론 연구. 서울: 한국인터넷진흥원. 

  18. 한국인터넷진흥원 (2010). 분석기법 우회 악성코드 분석방법 연구. 서울: 한국인터넷진흥원. 

  19. 홍수화 (2016). "Pin을 이용한 안티디버깅 우회 설계 및 구현" 인터넷정보학회논문지, 17(5): 33-42. 

  20. Bayer, U., Habibi, I., Balzarotti, D., Kirda, E. & Kruegel, C. (2009). "A View on Current Malware Behaviors." Usenix Workshop on Large-scale Exploits and Emergent Threats(LEET), http://static.usenix.org/event/leet09/tech/full_papers/bayer/bayer_html/ (Retrieved on November 9, 2017). 

  21. Balakrishnan, A. & Schulze C. (2005). "Code Obfuscation Literature Survey," http://pages.cs.wisc.edu/-arinib/writeup.pdf (Retrieved on November 9, 2017). 

  22. CodeEngn (2017). "CodeEngn Conference.", http://www.codeengn.com (Retrieved on November 9, 2017). 

  23. Gregio, A.R.A., Filho, D.S.F., Afonso, V.M., Santos, R.D.C., Jino, M. & de Geus, P.L. (2011). "Behavioral analysis of malicious code through network traffic and system call monitoring." Proceedings of the SPIE . 

  24. Hoglund, G. & Butler, J. (2005). Rootkits: Subverting the Windows Kernel. Addison-Wesley Professional. 

  25. Kim, S., Park, J., Lee, K., You, I. & Yim, K. (2012). "A Brief Survey on Rootkit Techniques in Malicious Codes." The journal of Internet Services and Information Security , 2(3/4): 134-147. 

  26. Lee, K., You, I. & Yim, K. (2010). "A Hint to the Analysis of the Packed Malicious Codes," Proceedings of the WISA . 

  27. Russinovich, M. & Solomon, D. (2009). Windows Internals. Microsoft. 

  28. Woei-Jiunn T., Yuh-Chen C. & Being-Yu T. (2009). "A New Windows Driver-Hidden Rootkit Based on Direct Kernel Object Manipulation." The journal of Lecture notes in computer science, 5574: 202-213. 

  29. Yason, M. (2007). "The Art of Unpacking," https://www.blackhat.com/presentations/bh-usa-07/Yason/Whitepaper/bh-usa-07-yason-WP.pdf (Retrieved on November 9, 2017). 

  30. You, I. & Yim, K. (2010). "Malware Obfuscation Techniques: A Brief Survey," International Conference on Broadband Wireless Computing, Communication and Applications, 297-300. 

  31. Yu, S., Zhou, W., Doss, R. & Jia, W. (2011). "Traceback of DDoS Attacks Using Entropy Variations." IEEE transactions on parallel and distributed systems; a publication of the IEEE Computer Society, 22(3): 412-425. 

    상세보기 crossref

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로