악성 코드의 일종인 랜섬웨어는 공격 방법이 다양해지고 복잡해지고 있다. 기존 랜섬웨어가 이메일 또는 특정 사이트를 통해 유포 및 감염시키는 것과 달리 WannaCryptor 같은 신종 랜섬웨어는 PC가 인터넷에 연결만 되어 있어도 데이터를 손상시킬 수 있다. 전 세계적으로 랜섬웨어 피해는 시시각각 발생하고 있고 이에 랜섬웨어를 탐지하고 차단하려는 많은 연구가 진행되고 있다. 기존 랜섬웨어 탐지 관련 연구는 프로세스의 특정 행위를 감시하거나 시그니처 데이터베이스를 활용하여 탐지하기 때문에 기존 랜섬웨어와 다른 동작을 보이는 신종 랜섬웨어가 실행되는 경우에는 탐지하고 차단하는 것이 어려울 수 있다. 따라서 본 논문에서는 기존의 랜섬웨어가 파일시스템에서 파일에 접근하고 동작하는 방식을 분석하여 미끼 파일을 배치하여 랜섬웨어를 탐지하는 방법을 제안한다. 또한, 제안하는 방법으로 랜섬웨어를 탐지하고 차단하는 실험을 진행한다.
악성 코드의 일종인 랜섬웨어는 공격 방법이 다양해지고 복잡해지고 있다. 기존 랜섬웨어가 이메일 또는 특정 사이트를 통해 유포 및 감염시키는 것과 달리 WannaCryptor 같은 신종 랜섬웨어는 PC가 인터넷에 연결만 되어 있어도 데이터를 손상시킬 수 있다. 전 세계적으로 랜섬웨어 피해는 시시각각 발생하고 있고 이에 랜섬웨어를 탐지하고 차단하려는 많은 연구가 진행되고 있다. 기존 랜섬웨어 탐지 관련 연구는 프로세스의 특정 행위를 감시하거나 시그니처 데이터베이스를 활용하여 탐지하기 때문에 기존 랜섬웨어와 다른 동작을 보이는 신종 랜섬웨어가 실행되는 경우에는 탐지하고 차단하는 것이 어려울 수 있다. 따라서 본 논문에서는 기존의 랜섬웨어가 파일시스템에서 파일에 접근하고 동작하는 방식을 분석하여 미끼 파일을 배치하여 랜섬웨어를 탐지하는 방법을 제안한다. 또한, 제안하는 방법으로 랜섬웨어를 탐지하고 차단하는 실험을 진행한다.
Ransomware is a malicious program code evolved into various forms of attack. Unlike traditional Ransomware that is being spread out using email attachments or infected websites, a new type of Ransomware, such as WannaCryptor, may corrupt files just for being connected to the Internet. Due to global ...
Ransomware is a malicious program code evolved into various forms of attack. Unlike traditional Ransomware that is being spread out using email attachments or infected websites, a new type of Ransomware, such as WannaCryptor, may corrupt files just for being connected to the Internet. Due to global Ransomware damage, there are many studies conducted to detect and defense Ransomware. However, existing research on Ransomware detection only uses Ransomware signature database or monitors specific behavior of process. Additionally, existing Ransomware detection methods hardly detect and defense a new Ransomware that behaves differently from the traditional ones. In this paper, we propose a method to detect Ransomware by arranging decoy files and analyzing the method how Ransomware accesses and operates files in the file system. Also, we conduct experiments using proposed method and provide the results of detection and defense of Ransomware in this paper.
Ransomware is a malicious program code evolved into various forms of attack. Unlike traditional Ransomware that is being spread out using email attachments or infected websites, a new type of Ransomware, such as WannaCryptor, may corrupt files just for being connected to the Internet. Due to global Ransomware damage, there are many studies conducted to detect and defense Ransomware. However, existing research on Ransomware detection only uses Ransomware signature database or monitors specific behavior of process. Additionally, existing Ransomware detection methods hardly detect and defense a new Ransomware that behaves differently from the traditional ones. In this paper, we propose a method to detect Ransomware by arranging decoy files and analyzing the method how Ransomware accesses and operates files in the file system. Also, we conduct experiments using proposed method and provide the results of detection and defense of Ransomware in this paper.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 Windows 이벤트 로그를 사용하여 랜섬웨어가 미끼 파일의 암호화 여부를 실시간으로 검사한다. 이벤트 로그 파일(.
본 논문에서는 기존 랜섬웨어와 미래에 새롭게 나타날 수 있는 신종 랜섬웨어를 탐지하기 위해 효율적으로 미끼 파일을 배치하는 방법을 제안하였다. Windows 운영체제를 대상으로 배포된 65개의 랜섬웨어를 분석하였다.
본 논문에서는 제안하는 기법이 랜섬웨어를 피해 없이 차단하는데 얼마나 효과적인지 실험한다. 제안하는 기법의 효용성을 알아보기 위하여 랜섬웨어가 차단될 때까지 암호화된 파일 수 및 총 용량을 측정한다.
본 논문에서는 제안하는 미끼 파일 배치 기법을 기반으로 현존하는 랜섬웨어를 탐지하고 차단하는 실험을 진행한다. [표 2]는 본 논문에서 제안하는 미끼 파일 기반 탐지 시스템 실험에사용할 65개의 랜섬웨어 중 일부를 나타낸 것이다.
제안 방법
이후기[14] 등은 랜섬웨어 감염 시 네트워크 트래픽 내에 고유한 신호가 발생하는 점에서 착안하여 고유 신호 탐지를 통해 랜섬웨어를 탐지 및 차단하는 방법을 연구하였다. 네트워크 트래픽 내에 공통적으로 발생하는 문자열을 확인한 후 해당 문자열을 통하여 패턴을 작성하였다. 위 방법으로 시그니처 기반 램섬웨어 탐지를 수행하였다.
다음으로 파일의 최근 접근 시간을 기준으로 파일을 접근하여 암호화하는 랜섬웨어를 탐지하기 위하여 미끼 파일의 정보 중 접근 시간을 주기적으로 갱신한다. 미끼 파일이 암호화되는 동안 랜섬웨어를 탐지하면 되기 때문에 미끼 파일이 포함된 하나의 폴더만 주기적으로 갱신한다.
마지막으로 일반적인 프로그램은 랜섬웨어 프로세스처럼 랜덤함수를 사용하고 파일 탐색과 입출력을 빠르게 진행하는 경우가 드물다. 따라서 랜덤함수를 호출하고 파일 I/O 작업이 빈번한 프로세스를 랜섬웨어로 탐지 및 차단한다.
해당 연구는 기존에 발견된 랜섬웨어가 변경하는 확장자들을 블랙리스트로 등록하고 임의의 프로세스가 파일 확장자를 블랙리스트에 등록된 확장자로 변경하면 랜섬웨어로 판단하는 방법이다. 또한, 다수의 파일에 대한 확장자 변경이 사람이 수행할 수 없는 짧은 시간에 이루어진 경우 이를 수행한 프로세스를 랜섬웨어로 간주하여 탐지를 하였다. 그러나 해당 방식은 파일 확장자를 변경하지 않는 랜섬웨어는 탐지되지 않는다는 단점이 있다.
제안하는 기법의 효용성을 알아보기 위하여 랜섬웨어가 차단될 때까지 암호화된 파일 수 및 총 용량을 측정한다. 또한, 랜섬웨어가 파일 암호화를 시작한 후 차단될 때까지 걸린 시간을 측정한다.
[9-10]. 또한, 랜섬웨어의 파일 및 디렉터리 암호화 패턴을 분석하여 파일 시스템에 영향을 크게 주지 않고 적절한 위치에 효율적으로 미끼 파일 배치 방법을 제안한다.
본 논문에서는 소스코드 분석을 통해 랜섬웨어의 동작 과정을 분석한다. 소스코드가 공개되지 않은 랜섬웨어의 경우 랜섬웨어 실행 파일을 역공학한 소스코드를 사용하였다.
본 장에서는 제안한 랜섬웨어 탐지 및 차단 기법과 기존 기법을 다양한 랜섬웨어에 대하여 실험 및 비교한다. 실험을 진행한 호스트, 게스트, 가상머신의 실험 환경은 [표 1] 과 같다.
해당 연구는 Cukkoo Sandbox를 활용하여 랜섬웨어 의심 파일에 대한 정적 분석 정보 및 동적 분석 정보를 얻는다. 분석 정보 중 정적 분석 정보를 PE Imphash 값을 랜섬웨어 탐지 모델의 PE Imphash 데이터베이스와 비교하여 PE Imphash 값이 같다면 랜섬웨어로 판별하고 다르다면 정적 분석 정보의 문자열 정보와 동적 분석 정보의 파일 관련 정보, 레지스트리 관련 정보, 로그 정보들을 Random Forest 알고리즘에 맞게 벡터화한다. 최적화된 벡터값을 통해 랜섬웨어 여부를 판단한다.
본 논문에서 분석한 랜섬웨어는 널리 배포되었거나 잘 알려진 Windows 운영체제 기반 랜섬웨어이다. 소스코드가 존재하지 않고 바이너리 실행 파일만 있는 랜섬웨어는 Hex-Ray 사에서 제작한 IDA 5.0 Freeware를 사용하여 소스코드를 추출하였다.
네트워크 트래픽 내에 공통적으로 발생하는 문자열을 확인한 후 해당 문자열을 통하여 패턴을 작성하였다. 위 방법으로 시그니처 기반 램섬웨어 탐지를 수행하였다. 그러나 해당 방식은 신․변종 랜섬웨어가 등장할 경우 탐지가 힘들다는 단점이 있다.
본 논문에서는 제안하는 기법이 랜섬웨어를 피해 없이 차단하는데 얼마나 효과적인지 실험한다. 제안하는 기법의 효용성을 알아보기 위하여 랜섬웨어가 차단될 때까지 암호화된 파일 수 및 총 용량을 측정한다. 또한, 랜섬웨어가 파일 암호화를 시작한 후 차단될 때까지 걸린 시간을 측정한다.
파일 크기를 기준으로 가장 작거나 가장 큰 파일을 우선적으로 암호화하는 랜섬웨어를 탐지하기 위하여 파일 크기가 작은 미끼 파일 n개와 파일 크기가 큰 미끼 파일 한 개를 각 디렉터리마다 배치한다. 크기가 큰 미끼 파일의 크기는 랜섬웨어가 탐지를 시작하는 디렉터리의 가장 큰 파일보다 크게 설정하였다.
한국 백신 회사 Ahnlab에서는 'Decoy 진단' 기술을 사용하여 랜섬웨어의 탐지를 진행한다[7]. 해당 기술은 미끼 파일을 담아두는 폴더를 각 드라이브의 루트(root) 경로에 배치하여 해당 폴더 내의 파일을 암호화하거나 파일 이름 변경을 시도하는 프로그램을 탐지하고 차단한다. 그러나 해당 방법은 랜섬웨어가 드라이브의 루트 경로를 탐색하지 않으면 탐지가 불가능하며 루트 경로의 탐색이 나중에 이루어질 경우 빠른 탐지가 불가능하다는 단점이 있다.
옥정균[15] 등은 랜섬웨어를 탐지하는 과정에서 PE Imphash 값을 비교하여 정적 분석 정보의 문자열, 동적 분석 정보의 로그, 파일 관련 정보, 레지스트리 관련 정보를 활용하여 랜섬웨어를 탐지한다. 해당 연구는 Cukkoo Sandbox를 활용하여 랜섬웨어 의심 파일에 대한 정적 분석 정보 및 동적 분석 정보를 얻는다. 분석 정보 중 정적 분석 정보를 PE Imphash 값을 랜섬웨어 탐지 모델의 PE Imphash 데이터베이스와 비교하여 PE Imphash 값이 같다면 랜섬웨어로 판별하고 다르다면 정적 분석 정보의 문자열 정보와 동적 분석 정보의 파일 관련 정보, 레지스트리 관련 정보, 로그 정보들을 Random Forest 알고리즘에 맞게 벡터화한다.
윤정무[6] 등은 랜섬웨어가 파일을 암호화할 때 파일의 확장자를 특정 확장자로 변경시키는 점에서 착안하여 파일 확장자 변화 모니터링을 통한 랜섬웨어 탐지 및 차단 방법을 연구하였다. 해당 연구는 기존에 발견된 랜섬웨어가 변경하는 확장자들을 블랙리스트로 등록하고 임의의 프로세스가 파일 확장자를 블랙리스트에 등록된 확장자로 변경하면 랜섬웨어로 판단하는 방법이다. 또한, 다수의 파일에 대한 확장자 변경이 사람이 수행할 수 없는 짧은 시간에 이루어진 경우 이를 수행한 프로세스를 랜섬웨어로 간주하여 탐지를 하였다.
Kharaz[8] 등은 랜섬웨어가 파일을 암호화하는 과정에서 동일한 I/O 이벤트가 반복적으로 발생한다는 사실을 이용하여 랜섬웨어를 탐지한다. 해당 연구는 랜섬웨어의 동작 방식을 분석하여 파일을 암호화할 때 발생하는 I/O 이벤트 패턴을 추출하여 랜섬웨어의 특징으로 삼는다. 파일 시스템을 모니터링 하여 특정 프로세스가 특징으로 추출한 I/O 패턴을 발생시키면 해당 프로세스를 의심스러운 랜섬웨어라고 간주한다.
대상 데이터
본 논문에서는 기존 랜섬웨어와 미래에 새롭게 나타날 수 있는 신종 랜섬웨어를 탐지하기 위해 효율적으로 미끼 파일을 배치하는 방법을 제안하였다. Windows 운영체제를 대상으로 배포된 65개의 랜섬웨어를 분석하였다. 이를 통해 랜섬웨어가 미끼 파일을 먼저 암호화 하도록 미끼 파일을 배치한다.
본 논문에서 분석한 랜섬웨어는 널리 배포되었거나 잘 알려진 Windows 운영체제 기반 랜섬웨어이다. 소스코드가 존재하지 않고 바이너리 실행 파일만 있는 랜섬웨어는 Hex-Ray 사에서 제작한 IDA 5.
데이터처리
Ⅳ장에서는 기존 랜섬웨어 프로그램의 소스코드를 분석한 결과와 향후 배포될 수 있는 신종 랜섬웨어의 행위 기반 미끼 파일 배치 방법을 제안한다. Ⅴ장에서는 Ⅳ장에서 제안하는 미끼 파일을 이용한 랜섬웨어 탐지를 실험하고 결과를 분석하여 성능을 평가한다. Ⅵ장에서는 결론에 대해 서술한다.
제안하는 미끼 파일 배치를 이용한 랜섬웨어 탐지 기법과 기존의 미끼 파일 배치를 이용한 랜섬웨어 탐지 기법을 비교하여 실험하였다. [그림 8] 은 기존 기법과 본 논문에서 제안하는 기법의 실험 결과를 보여준다.
성능/효과
[그림 8] 은 기존 기법과 본 논문에서 제안하는 기법의 실험 결과를 보여준다. 기존 기법과 제안한 기법이 탐지한 랜섬웨어의 수는 비슷하였으나 랜섬웨어가 파일을 암호화 하는 순간 탐지된 랜섬웨어의 수는 제안한 기법이 많았다. 기존 기법이 탐지하지 못한 랜섬웨어는 C 드라이브의 루트 경로를 탐색 경로에서 제외하였기 때문에 탐지되지 않았다.
하지만 본 논문은 기존에 존재하는 랜섬웨어 중 대표적인 것들을 뽑아 동작 방식을 분석하여 미끼 파일 배치 방법을 제안하였기 때문에 모든 랜섬웨어가 빠르게 탐지된다는 보장이 없다. 또한, 본 논문에서 제안한 미끼 파일 배치 방법을 우회한 방식의 신종 랜섬웨어가 나타날 경우 이를 탐지하지 못할 가능성이 높다.
후속연구
또한, 본 논문에서 제안한 미끼 파일 배치 방법을 우회한 방식의 신종 랜섬웨어가 나타날 경우 이를 탐지하지 못할 가능성이 높다. 따라서, 본 논문에서 제안한 방법 외에 다양한 탐지 방법을 종합적으로 사용하여야 새로 출현하는 랜섬웨어를 효율적으로 탐지할 수 있을 것이다.
하지만 본 논문은 기존에 존재하는 랜섬웨어 중 대표적인 것들을 뽑아 동작 방식을 분석하여 미끼 파일 배치 방법을 제안하였기 때문에 모든 랜섬웨어가 빠르게 탐지된다는 보장이 없다. 또한, 본 논문에서 제안한 미끼 파일 배치 방법을 우회한 방식의 신종 랜섬웨어가 나타날 경우 이를 탐지하지 못할 가능성이 높다. 따라서, 본 논문에서 제안한 방법 외에 다양한 탐지 방법을 종합적으로 사용하여야 새로 출현하는 랜섬웨어를 효율적으로 탐지할 수 있을 것이다.
이와 같이 랜섬웨어가 탐색을 시작하는 해당 디렉터리에만 미끼 파일을 배치한다면 저장 공간의 낭비를 줄일 수 있다. 이와 같이 미끼 파일을 배치하고, 파일 I/O 이벤트 로그와 미끼 파일을 모니터링 하는 시스템을 구축한다면 랜섬웨어 차단이 가능할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
미끼 파일을 담아두는 폴더를 각 드라이브의 루트(root) 경로에 배치하여 해당 폴더 내의 파일을 암호화하거나 파일 이름 변경을 시도하는 프로그램을 탐지하고 차단하는 방법의 단점은?
해당 기술은 미끼 파일을 담아두는 폴더를 각 드라이브의 루트(root) 경로에 배치하여 해당 폴더 내의 파일을 암호화하거나 파일 이름 변경을 시도하는 프로그램을 탐지하고 차단한다. 그러나 해당 방법은 랜섬웨어가 드라이브의 루트 경로를 탐색하지 않으면 탐지가 불가능하며 루트 경로의 탐색이 나중에 이루어질 경우 빠른 탐지가 불가능하다는 단점이 있다.
최초의 랜섬웨어는 누구에 의해 만들어 졌는가?
랜섬웨어는 몸값을 의미하는 'ransom'과 프로그램을 의미하는 'ware'가 합쳐진 단어로 사용자의 컴퓨터 시스템을 암호화하고, 이를 인질 삼아 사용자에게 복구비용을 요구하는 악성코드의 한 종류이다. 최초의 랜섬웨어는 1989년 '조셉 팝'에 의해 만들어졌다. 2013년에 출현한 CryptoLocker는 피해자에게 복구비용으로 비트코인을 요구한 최초의 랜섬웨어로 이때부터 해커들은 복구비용을 익명성을 보장받으며 요구할 수 있게 되었다[2].
랜섬웨어란?
그러나 최근 신종 악성코드인 랜섬웨어가 등장하여 관련 직종 종사자들이 많은 피해를 받고 있다[1]. 랜섬웨어는 몸값을 의미하는 'ransom'과 프로그램을 의미하는 'ware'가 합쳐진 단어로 사용자의 컴퓨터 시스템을 암호화하고, 이를 인질 삼아 사용자에게 복구비용을 요구하는 악성코드의 한 종류이다. 최초의 랜섬웨어는 1989년 '조셉 팝'에 의해 만들어졌다.
참고문헌 (17)
Wikipedia, "Malware"(2017), https://en.wikipedia.org/wiki/Malware. (accessed July 7, 2017)
Wikipedia, "Ransomware"(2017), https://en.wikipedia.org/wiki/Ransomware. (accessed July 7, 2017)
윤기하, 박성모, "128비트 LEA 암호화 블록 하드웨어 구현 연구," 스마트미디어저널, 제4권, 제4호, 39-46쪽, 2015년 12월
Kharraz, A., Arshad, S., Mulliner, C., Robertson, W. K., & Kirda, E, UNVEIL: A Large-Scale, Automated Approach to Detecting Ransomware, USENIX Security Symposium, pp. 757-772, AUSTIN, TX, 2016, August
Utku Sen, "ransomware open-sources"(2015), https://github.com/goliate/hidden-tear. (accessed June 20, 2017)
SanJay, "Various codes related to Ransomware Developement" (2017) , https://github.com/roothaxor/Ransom. (accessed June 20, 2017)
신용학, 전준영, 김종성. "삭제되거나 손상된 이벤트 로그(EVTX) 파일 복구 기술에 대한 연구". 정보보호학회논문지, 26권, 2호, 387-396쪽. 2016년 4월
※ AI-Helper는 부적절한 답변을 할 수 있습니다.