[논문]난독화 바이너리 분석 방안

최석우

난독화 바이너리 분석 방안 원문보기

정보과학회지 = Communications of the Korean Institute of Information Scientists and Engineers, v.36 no.3 = no.346, 2018년, pp.26 - 31

최석우 (국가보안기술연구소)

초록이 없습니다.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이 연구에서는 악성코드가 가장 많이 이용하고 있는 바이너리 실행파일 난 독 화를 분석하기 위해 바이너리난독화 및 역난독화 기법에 대해서 소개한다. 2장에서는 전통적인 난독 화 기법을 소개하고 3장에서는 난독 화 코드를 분석하기 위한 역난독화 기법과 향후 연구 방향을 제시한다.
이 장에서는 대표적인 x86 바이너 리 난독화 도구들인 OLLVM[13], Themida[14], VMProtect[15]에서 제공하고 있는 난독 화 기법들 중 대표적인 기법들에 대해서 소개하려고 한다.

제안 방법

분석 기법이다. 난독 화 코드의 안전성을 검증하거나 난독화 된 악성코드를 분석하기 위하여 코드 역난독화를 적용한다.

대상 데이터

아직까지 동적 분석과 정적 분석 방법 모두 다른 난독화 기법과 결합하여 이용되는 가상화 난독화코드에 대한 효과적인 대응 방안이 되지 못하고 있다. 관련 연구에서 이용한 실험 데이터는 장난감 예제 또는 벤치마크이거나 이전 버전의 난독 화 도구를 이용하여 분석 가능한 악성코드이다. 역난독화에 대한 평가 기준도 CFG의 유사도나 난독 화 기법을 얼마나 제거했는지로 제시하고 있어 현실적으로 이 방법을 활용하여 악성 코드를 분석하는데 한계가 있다.

이론/모형

있도록 한다. C++ 프로그램의 특정 함수에 제어 흐름 평탄화 기법을 적용한다. 그림 2는 OLLVM에 의해 C++ 프로그램에 제어 흐름 평탄화를 적용한 후 IDA Pro 디스 어셈블러에 의해해 변형된 CFG를 보여 준다.

성능/효과

난독 화 코드 분석을 위해 난독 화 기법에 대한 이해와 식별이 먼저 필요하며 각 난독 화 기법에 대한 대응을 해야 한다. 분석가들은 난독화 기법에 대한 이해를 바탕으로 DBI, 디버거와 같은 다양한 도구들과 심볼릭 실행, 슬라이싱 등 프로그램 분석 기술을 이용하여 역난독화를 할 수 있으며 부분적으로 자동화 할 수 있는 역난독화 도구를 개발할 수 있다.
따라서 공격자들은 코드 난독 화 기술을 통해 악성코드 분석 시간을 지연 시켜 시간을 확보할 수 있다. 프로그램 보호를 목적으로도 자주 업데이트가 일어난다는 가정하에 난독화 기법을 적용하는 것이 효과적이다. 분석가들은 난독화 코드에 대한 일반적이고 자동화 가능한 역난독화 기술을 적용할 수 없다.

후속연구

여러 역난독화기법 중 아직까지 가상화 난독화에대해 효과적으로 적용할 수 있는 연구가 존재하지 않으며 이를 위한 추가적인 연구가 필요하다.

참고문헌 (31)

Nagra, Jasvir, and Christian Collberg. Surreptitious Software: Obfuscation, Watermarking, and Tamperproofing for Software Protection: Obfuscation, Watermarking, and Tamperproofing for Software Protection. Pearson Education, 2009.
Barak, Boaz, et al. "On the (im) possibility of obfuscating programs." Annual International Cryptology Conference. Springer, Berlin, Heidelberg, 2001.
Appel, Andrew. "Deobfuscation is in NP." Princeton University, Aug 21 (2002)
Anckaert, Bertrand, et al. "Program obfuscation: a quantitative approach." Proceedings of the 2007 ACM workshop on Quality of protection. ACM, 2007.
Ceccato, Mariano, et al. "The effectiveness of source code obfuscation: An experimental assessment." Program Comprehension, 2009. ICPC'09. IEEE 17th International Conference on. IEEE, 2009.
Collberg, Christian S., and Clark Thomborson. "Watermarking, tamper-proofing, and obfuscation-tools for software protection." IEEE Transactions on software engineering 28.8 (2002): 735-746.

상세보기
Yadegari, Babak, and Saumya Debray. "Symbolic execution of obfuscated code." Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. ACM, 2015.
Banescu, Sebastian, et al. "Code obfuscation against symbolic execution attacks." Proceedings of the 32nd Annual Conference on Computer Security Applications. ACM, 2016.
Junod, Pascal, et al. "Obfuscator-LLVM--software protection for the masses." Software Protection (SPRO), 2015 IEEE/ACM 1st International Workshop on. IEEE, 2015.
Collberg, Christian, Clark Thomborson, and Douglas Low. A taxonomy of obfuscating transformations. Department of Computer Science, The University of Auckland, New Zealand, 1997.
Collberg, Christian, Clark Thomborson, and Douglas Low. "Manufacturing cheap, resilient, and stealthy opaque constructs." Proceedings of the 25th ACM SIGPLAN-SIGACT symposium on Principles of programming languages. ACM, 1998.
Robin David & Sebastien Bardin. "Code Deobfuscation: Intertwining Dynamic, Static and Symbolic Approaches." Black Hat Europe, 2016.
Obfuscator-LLVM. https://github.com/obfuscator-llvm/obfuscator/wiki
Themida. https://www.oreans.com/themida.php
VMProtect. http://vmpsoft.com
Chow, Stanley, et al. "An approach to the obfuscation of control-flow of sequential computer programs." International Conference on Information Security. Springer, Berlin, Heidelberg, 2001.
Ming, Jiang, et al. "Loop: Logic-oriented opaque predicate detection in obfuscated binary code." Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. ACM, 2015.
Collberg, Christian, G. R. Myles, and Andrew Huntwork. "Sandmark-a tool for software protection research." IEEE security & privacy 99.4 (2003): 40-49.
Z3Prover/z3. https://github.com/Z3Prover/z3
Linn, Cullen, and Saumya Debray. "Obfuscation of executable code to improve resistance to static disassembly." Proceedings of the 10th ACM conference on Computer and communications security. ACM, 2003.
Madou, Matias, et al. "Software protection through dynamic code mutation." International Workshop on Information Security Applications. Springer, Berlin, Heidelberg, 2005.
Kang, Min Gyung, Pongsin Poosankam, and Heng Yin. "Renovo: A hidden code extractor for packed executables." Proceedings of the 2007 ACM workshop on Recurring malcode. ACM, 2007.
Oberheide, Jon, Michael Bailey, and Farnam Jahanian. "PolyPack: an automated online packing service for optimal antivirus evasion." Proceedings of the 3rd USENIX conference on Offensive technologies. USENIX Association, 2009.
ScyllaHide. https://bitbucket.org/NtQuery/scyllahide
StrongOD. https://tuts4you.com/e107_plugins/download/download.php?view.2028
Ke Sun and Xiaoning Li. "Break out of the Truman show: Active detection and escape of dynamic binary instrumentation". Black Hat Asia 2016.
Bardin, Sebastien, Robin David, and Jean-Yves Marion. "Backward-Bounded DSE: Targeting Infeasibility Questions on Obfuscated Codes." Security and Privacy (SP), 2017 IEEE Symposium on. IEEE, 2017.
Rolles, Rolf. "Unpacking virtualization obfuscators." 3rd USENIX Workshop on Offensive Technologies. (WOOT). 2009.
Kalysch, Anatoli, Johannes Gotzfried, and Tilo Muller. "VMAttack: Deobfuscating Virtualization-Based Packed Binaries." Proceedings of the 12th International Conference on Availability, Reliability and Security. ACM, 2017.
Coogan, Kevin, Gen Lu, and Saumya Debray. "Deobfuscation of virtualization-obfuscated software: a semantics-based approach." Proceedings of the 18th ACM conference on Computer and communications security. ACM, 2011.
Aschermann, Tim Blazytko Moritz Contag Cornelius, and Thorsten Holz. "Syntia: Synthesizing the Semantics of Obfuscated Code." (2017).

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

난독화 바이너리 분석 방안 원문보기

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

참고문헌 (31)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

난독화 바이너리 분석 방안 원문보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

참고문헌 (31)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

AI 본문요약
AI-Helper