[논문]바이너리 패턴 분석을 이용한 멜트다운, 스펙터 악성코드 탐지 방법

김문선; 이만희

doi:10.13089/jkiisc.2019.29.6.1365

바이너리 패턴 분석을 이용한 멜트다운, 스펙터 악성코드 탐지 방법
Detecting Meltdown and Spectre Malware through Binary Pattern Analysis 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.6, 2019년, pp.1365 - 1373

김문선 (한남대학교) , 이만희 (한남대학교)

초록
AI-Helper

Meltdown과 Spectre는 프로세서의 비순차 및 추측 실행의 취약점을 이용해 일반 사용자 권한으로 접근할 수 없는 메모리를 읽는 공격이다. 이 공격을 방지하기 위한 대응 패치가 공개되었으나, 적용 가능한 패치가 없는 오래된 시스템 등은 여전히 이 공격에 취약하다고 할 수 있다. 이 공격을 탐지하기 위한 연구가 이루어지고 있지만 대부분 동적 식별 방법을 제안하고 있다. 따라서 본 논문은 Meltdown과 Spectre 악성코드를 실행하지 않고 파일 상태에서 탐지가 가능한 시그니처를 제안한다. 이를 위해 GitHub에 등록된 13종의 악성코드에 대한 바이너리 패턴 분석을 수행하였다. 이를 바탕으로 공격 파일 식별 방법을 제안하였으며, 실험결과 분석한 악성코드와 현재 악성코드 데이터베이스에 등록된 19개의 변종 악성코드를 100% 식별했고, 2,317개의 정상파일 중 0.94%(22건)의 오탐률을 보였다.

Abstract ▼ AI-Helper

Meltdown and Spectre are vulnerabilities that exploit out-of-order execution and speculative execution techniques to read memory regions that are not accessible with user privileges. OS patches were released to prevent this attack, but older systems without appropriate patches are still vulnerable. Currently, there are some research to detect Meltdown and Spectre attacks, but most of them proposed dynamic analysis methods. Therefore, this paper proposes a binary signature that can be used to detect Meltdown and Spectre malware without executing them. For this, we collected 13 malicious codes from GitHub and performed binary pattern analysis. Based on this, we proposed a static detection method for Meltdown and Spectre malware. Our results showed that the method identified all the 19 attack files with 0.94% false positive rate when applied to 2,317 normal files.

주제어

표/그림 (8)

그림 Fig. 1. Flush+Reload attack in Meltdown Exploit code
그림 Fig. 2. KPTI(Kernel Page-Table Isolation)
그림 Fig. 3. Part of Spectre proof of concept code
그림 Fig. 4. Threshold of clflush frequency
표 Table 1. The number of signatures contained in the Meltdown, Spectre attack file with the highest antivirus engine detection rate.
표 Table 2. Opcode frequency analysis results.
그림 Fig. 5. Attack file identification process
표 Table 3. Checker performance valuation result

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문은 Meltdown과 Spectre 공격 파일을 정적으로 탐지하기 위한 바이너리 패턴을 제안하고, 이를 바탕으로 구현한 자동화된 분석 도구인 Checker를 소개하였다. Checker의 성능실험 32종의 Meltdown과 Spectre 악성코드 100% 식별했으며, 오탐률은 0.
본 논문은 이 안전의 공백을 방지하기 위해 효과적인 정적 탐지 기법을 제안한다. 이를 위해 Meltdown과 Spectre 악성코드에 대해 바이너리 패턴 분석을 수행하였고, 해당 결과를 토대로 공격 파일을 식별할 수 있는 시그니처를 제안했다.
시그니처의 정확도를 확인하기 위해 얼마나 많은 일반 실행파일이 이 시그니처를 포함하는지 살펴보았다. 그 결과 2,317개중 2.

가설 설정

7) 분류되지 않은 파일은 공격 파일로 확정한다.
Meltdown과 Spectre는 공통적으로 Flush+Reload 공격을 수행하여 캐시에 적재된 희생자의 메모리를 읽는다. 따라서 공격 파일은 Flush+Reload 공격에 사용되는 핵심 opcode인 clflush, rdtsc(p), mfence의 비율이 일반 파일에 비해 높을 것으로 가정하고 실험을 진행하였다.
따라서 우리는 기존 연구에서 도출한 시그니처의 변종 탐지 능력을 강화하기 위해 공격 파일 13종에 대해 추가적으로 opcode분석을 수행하였다. 또한 Meltdown과 Spectre 공격 파일과 일반 파일은 clflush와 같은 특정 opcode에 대한 빈도수가 다를 것으로 가정하고, 이를 검증하기 위해 opcode의 호출 횟수와 빈도수 분석을 수행하였다. 이 과정에서 변종에 대한 탐지 능력을 검증하기 위해 새로 수집한 변종 공격 코드는 정적 분석을 수행하지 않았다.
또한, 이 공격 코드는 Flush+Reload 공격을 수행하기 때문에 2번 이상의 TSC 접근이 이루어 질 것으로 가정하고 분석하였다. 그 결과 Table 1.

제안 방법

4.1에 소개한 시그니처를 바탕으로 Windows에서 Meltdown과 Spectre 공격 파일을 실행하지 않고 식별할 수 있는 Checker를 개발하였다. Checker는 7단계로 공격 파일을 식별한다.
Hybrid-Analysis에서 수집 가능한 19개의 변종코드는 시그니처의 작동 여부 검사에 사용하였다. 공격 파일에 대한 정적 분석 결과, 5가지 opcode와 2가지 API 호출을 시그니처로 규정하였다. 각 시그니처를 선정한 이유와 공격 코드 내부에서 수행하는 역할은 다음과 같다.
따라서 공격 코드는 rdtsc 명렁어 직전에 mfence 명령어를 삽입하여 rdtsc의 병렬 수행을 방지한다. 따라서 rdtsc가 식별되는 경우, mfence를 반드시 포함하는 공격 코드의 특징을 시그니처 정보로 추가하였다.
따라서 우리는 기존 연구에서 도출한 시그니처의 변종 탐지 능력을 강화하기 위해 공격 파일 13종에 대해 추가적으로 opcode분석을 수행하였다. 또한 Meltdown과 Spectre 공격 파일과 일반 파일은 clflush와 같은 특정 opcode에 대한 빈도수가 다를 것으로 가정하고, 이를 검증하기 위해 opcode의 호출 횟수와 빈도수 분석을 수행하였다.
이를 위해 Meltdown과 Spectre 악성코드에 대해 바이너리 패턴 분석을 수행하였고, 해당 결과를 토대로 공격 파일을 식별할 수 있는 시그니처를 제안했다. 또한, 이 시그니처를 이용하여 자동으로 Meltdown과 Spectre 공격 파일을 탐지하는 도구를 개발하였다. 탐지 실험 결과, 변종을 포함한 악성코드 32종에 대해 100% 탐지율을 보였으며, 2,317개의 정상 실행 파일 중 0.
0015%로 나타났다. 본 시그니처의 목적은 모든 변종 코드를 탐지하는 것이기 때문에 clflush 빈도수가 0.0015% 미만인 파일은 일반 파일로 분류하는 시그니처를 추가하였다.
시그니처 분석은 GitHub에 공개된 Meltdown과 Spectre variant 1 공격 파일 13종을 통해 진행했다. Hybrid-Analysis에서 수집 가능한 19개의 변종코드는 시그니처의 작동 여부 검사에 사용하였다.
실험은 수집한 악성코드와 정상 파일을 Checker로 분석하는 방법으로 진행했다. 실험에 사용한 파일은 Hybrid-Analysis와 GitHub에서 수집한 32종의 Meltdown과 Spectre 악성코드이며, KakaoTalk.
우리는 이전 연구에서 Meltdown 공격 파일을 정적으로 식별하기 위해 악성코드 정적 분석 방법인 String 검색, Opcode 분석, API 호출 분석을 통한 Meltdown과 Spectre 공격 파일 식별을 시도했다. 하지만 String 검색을 수행한 결과 여러 변종에서 공통적으로 나타난 String은 없었다.
Jonas Depoix 등은 HPC를 통해 수집한 캐시 Hit/Miss 데이터를 통해 Spectre 공격이 수행하는 Flush+Reload의 패턴을 인공 신경망 모델에 적용했다[11]. 이 모델을 통해 시스템을 모니터링 하여 Spectre 공격을 탐지하는 방법을 제시했다.
본 논문은 이 안전의 공백을 방지하기 위해 효과적인 정적 탐지 기법을 제안한다. 이를 위해 Meltdown과 Spectre 악성코드에 대해 바이너리 패턴 분석을 수행하였고, 해당 결과를 토대로 공격 파일을 식별할 수 있는 시그니처를 제안했다. 또한, 이 시그니처를 이용하여 자동으로 Meltdown과 Spectre 공격 파일을 탐지하는 도구를 개발하였다.
Jae-Kyu Lee 등은 Meltdown 공격의 SIGSEGV Signal을 분석하여 커널 메모리 접근 여부, SIGSEGV signal의 주기적 발생 여부 등의 데이터를 수집하였다[12]. 이후 해당 데이터를 바탕으로 공격 여부를 실시간으로 동적 탐지하는 의사 결정 트리 모델을 제안했다.

대상 데이터

Jae-Kyu Lee 등은 Meltdown 공격의 SIGSEGV Signal을 분석하여 커널 메모리 접근 여부, SIGSEGV signal의 주기적 발생 여부 등의 데이터를 수집하였다[12].
시그니처 분석은 GitHub에 공개된 Meltdown과 Spectre variant 1 공격 파일 13종을 통해 진행했다. Hybrid-Analysis에서 수집 가능한 19개의 변종코드는 시그니처의 작동 여부 검사에 사용하였다. 공격 파일에 대한 정적 분석 결과, 5가지 opcode와 2가지 API 호출을 시그니처로 규정하였다.
exe, notepad++.exe와 같이 일반적인 Windows 환경에서 사용하는 2,317개의 정상 실행 파일이다.
실험은 수집한 악성코드와 정상 파일을 Checker로 분석하는 방법으로 진행했다. 실험에 사용한 파일은 Hybrid-Analysis와 GitHub에서 수집한 32종의 Meltdown과 Spectre 악성코드이며, KakaoTalk.exe, notepad++.exe와 같이 일반적인 Windows 환경에서 사용하는 2,317개의 정상 실행 파일이다.

데이터처리

37%(55개)의 일반 실행 파일이 7가지 시그니처를 모두 가진 것으로 조사되었다. 이 오탐률은 실제 적용되기 어려운 것으로 판단하여 오탐률 최소화하기 위해 clflush 빈도수 분석을 추가적으로 수행하였다.

성능/효과

3) 프로세서는 추측 실행한 주소에 대해 접근 권한이 없는 것을 확인하고(false) 해당 분기의 실행결과를 폐기한다.
4) rdtsc(p)의 개수가 2개 이상이면 앞선 단계에서 식별한 opcode와의 조합이 Flush+Reload 공격 패턴과 일치한다.
본 논문은 Meltdown과 Spectre 공격 파일을 정적으로 탐지하기 위한 바이너리 패턴을 제안하고, 이를 바탕으로 구현한 자동화된 분석 도구인 Checker를 소개하였다. Checker의 성능실험 32종의 Meltdown과 Spectre 악성코드 100% 식별했으며, 오탐률은 0.94%였다. 현재 해당 악성코드들은 평균 31%의 백신만 탐지하기 때문에 완화 패치를 적용하기 어려운 시스템에서 기존의 백신과 제안한 Checker를 함께 운용하면 Meltdown과 Spectre 공격을 더욱 효과적으로 예방할 수 있을 것으로 기대한다.
는 분석한 Meltdown과 Spectre 공격 파일이 포함하는 3가지 opcode의 빈도수 평균을 도식화한 것이다. 공격 파일의 clflush 빈도수는 평균 0.02% 이상으로 나타났지만, 가장 낮은 빈도수를 가지는 개체는 빈도수가 0.0015%로 나타났다. 본 시그니처의 목적은 모든 변종 코드를 탐지하는 것이기 때문에 clflush 빈도수가 0.
시그니처의 정확도를 확인하기 위해 얼마나 많은 일반 실행파일이 이 시그니처를 포함하는지 살펴보았다. 그 결과 2,317개중 2.37%(55개)의 일반 실행 파일이 7가지 시그니처를 모두 가진 것으로 조사되었다. 이 오탐률은 실제 적용되기 어려운 것으로 판단하여 오탐률 최소화하기 위해 clflush 빈도수 분석을 추가적으로 수행하였다.
시스템에 따라 다르게 사용되는 rdtsc, rdtscp, mfence를 제외하면 모든 시그니처가 반드시 한 번 이상 포함되는 것을 확인할 수 있다. 따라서 7가지 시그니처를 모두 포함한 파일은 Meltdown과 Spectre 악성코드일 가능성이 있다는 것을 의미한다.
수집한 악성코드를 VirusTotal의 백신 엔진에서 분석할 결과, 평균 탐지율은 31%이며, 이 중 7종은 99%의 백신이 탐지하지 못했다. 이에 반해, 본 연구에서 제안한 시그니처를 이용하는 Checker는 Meltdown과 Spectre 악성코드 32종을 100% 탐지했으며 정상 파일에 대한 오탐률은 0.
실험 결과, 공격 파일들의 평균 clflush 빈도수는 0.02% 이상인 반면, 일반 파일은 0.001%로 20배 이상 차이가 나는 것으로 나타났다. 따라서 clflush 빈도수를 통해 파일의 악성 여부를 가늠할 수 있을 것으로 판단된다.
수집한 악성코드를 VirusTotal의 백신 엔진에서 분석할 결과, 평균 탐지율은 31%이며, 이 중 7종은 99%의 백신이 탐지하지 못했다. 이에 반해, 본 연구에서 제안한 시그니처를 이용하는 Checker는 Meltdown과 Spectre 악성코드 32종을 100% 탐지했으며 정상 파일에 대한 오탐률은 0.94%로 나타났다(Table 3.)
하지만 String 검색을 수행한 결과 여러 변종에서 공통적으로 나타난 String은 없었다. 이후 opcode와 API 호출 분석을 수행한 결과 clflush, rdtsc, GetLastError 등 일부 공통적으로 사용되는 opcode와 API 호출을 발견했다.
또한, 이 시그니처를 이용하여 자동으로 Meltdown과 Spectre 공격 파일을 탐지하는 도구를 개발하였다. 탐지 실험 결과, 변종을 포함한 악성코드 32종에 대해 100% 탐지율을 보였으며, 2,317개의 정상 실행 파일 중 0.94%(22건)의 오탐률을 확인하였다. 현재까지 파악한 바로는, Meltdown과 Spectre를 탐지하는 정적 분석 기법과 도구가 제안된 적은 없었으므로 그 의미가 있다고 할 수 있다.
만약, 백신이 이 공격을 정적으로 탐지할 수 있다면 대응 패치를 지원하지 않는 시스템은 이 공격으로부터 안전하게 보호받을 수 있을 것이다. 하지만 GitHub와 악성코드 데이터베이스 및 분석 사이트인 Hybrid-Analysis 에서 32종의 Meltdown과 Spectre 악성코드를 수집한 뒤, VirusTotal을 이용하여 확인한 결과, 평균 31%의 탐지율을 보였으며, 특히 7개의 변종 코드는 전체 백신의 99% 이상이 전혀 탐지하지 못했다. 즉, 현재 가용한 백신으로부터 Meltdown과 Spectre 공격에 대한 안전을 확보하기 어렵다.
해당 요소들의 단순 포함 여부를 시그니처 정보로 적용해 본 결과 분석에 사용한 11개의 악성코드 탐지율은 100%였으며, 1,700개의 일반 파일에 대한 오탐률은 0.35%로 나타났다[16].

후속연구

현재 해당 악성코드들은 평균 31%의 백신만 탐지하기 때문에 완화 패치를 적용하기 어려운 시스템에서 기존의 백신과 제안한 Checker를 함께 운용하면 Meltdown과 Spectre 공격을 더욱 효과적으로 예방할 수 있을 것으로 기대한다. 향후 연구로 docker와 VMware같은 가상화 이미지 파일에 포함된 Meltdown과 Spectre 공격 파일을 정적 탐지할 수 있는 Checker를 개발 중에 있다.
94%였다. 현재 해당 악성코드들은 평균 31%의 백신만 탐지하기 때문에 완화 패치를 적용하기 어려운 시스템에서 기존의 백신과 제안한 Checker를 함께 운용하면 Meltdown과 Spectre 공격을 더욱 효과적으로 예방할 수 있을 것으로 기대한다. 향후 연구로 docker와 VMware같은 가상화 이미지 파일에 포함된 Meltdown과 Spectre 공격 파일을 정적 탐지할 수 있는 Checker를 개발 중에 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	Meltdown의 단점은 무엇인가?	Meltdown과 Spectre 공격 탐지는 대부분 프로세스를 감시하고 의심되는 동작을 탐지하기 때문에 공격이 실제 실행되어야 한다는 단점이 있다. 완화 방법 또한 아키텍처의 구조적 변경 혹은 성능 저하를 동반하는 패치를 필요로 한다.
	Meltdown이란?	Meltdown은 프로세서의 비순차 실행을 악용하여 커널 메모리를 읽을 수 있는 취약점다. Intel의 모든 프로세서와 ARM Cortex-A75 기반 시스템이 이 취약점에 영향을 받는 것으로 알려졌다[1].
	KPTI의 한계점은 무엇인가?	과 같이 사용자 영역과 커널 영역의 페이지 테이블을 분리하여 Meltdown 공격으로부터 커널 메모리를 보호한다. 하지만 유저 모드에서 커널 모드로 진입하기 위해 커널 페이지 테이블을 로드하는 과정이 필요하고, 이 과정에서 최대 30%의 성능 저하를 유발한다[5].

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증