[논문]분석 회피 기능을 갖는 안드로이드 악성코드 동적 분석 기능 향상 기법

안진웅; 윤홍선; 정수환

doi:10.13089/jkiisc.2019.29.3.519

분석 회피 기능을 갖는 안드로이드 악성코드 동적 분석 기능 향상 기법
An Enhancement Scheme of Dynamic Analysis for Evasive Android Malware 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.3, 2019년, pp.519 - 529

안진웅 (숭실대학교) , 윤홍선 (숭실대학교) , 정수환 (숭실대학교)

초록
AI-Helper

지능화된 안드로이드 악성코드는 안티바이러스가 탐지하기 어렵도록 악성행위를 숨기기 위하여 다양한 분석 회피 기법을 적용하고 있다. 악성코드는 악성행위를 숨기기 위하여 백그라운드에서 동작하는 컴포넌트를 주로 활용하고, 자동화된 스크립트로 악성 앱을 실행할 수 없도록 activity-alias 기능으로 실행을 방해하고, 악성행위가 발견되는 것을 막기 위해 logcat의 로그를 삭제하는 등 지능화되어간다. 악성코드의 숨겨진 컴포넌트는 기존 정적 분석 도구로 추출하기 어려우며, 기존 동적 분석을 통한 연구는 컴포넌트를 일부만 실행하기 때문에 분석 결과를 충분히 제공하지 못한다는 문제점을 지닌다. 본 논문에서는 이러한 지능화된 악성코드의 동적 분석 성공률을 증가시키기 위한 시스템을 설계하고 구현하였다. 제안하는 분석 시스템은 악성코드에서 숨겨진 컴포넌트를 추출하고, 서비스와 같은 백그라운드 컴포넌트인 실행시키며, 앱의 모든 인텐트 이벤트를 브로드캐스트한다. 또한, 분석 시스템의 로그를 앱이 삭제할 수 없도록 logcat을 수정하고 이를 이용한 로깅 시스템을 구현하였다. 실험 결과 본 논문에서 제안한 시스템을 기존의 컨테이너 기반 동적 분석 플랫폼과 비교하였을 때, 악성코드 구동률이 70.9%에서 89.6%로 향상된 기능을 보였다.

Abstract ▼ AI-Helper

Nowadays, intelligent Android malware applies anti-analysis techniques to hide malicious behaviors and make it difficult for anti-virus vendors to detect its presence. Malware can use background components to hide harmful operations, use activity-alias to get around with automation script, or wipe the logcat to avoid forensics. During our study, several static analysis tools can not extract these hidden components like main activity, and dynamic analysis tools also have problem with code coverage due to partial execution of android malware. In this paper, we design and implement a system to analyze intelligent malware that uses anti-analysis techniques to improve detection rate of evasive malware. It extracts the hidden components of malware, runs background components like service, and generates all the intent events defined in the app. We also implemented a real-time logging system that uses modified logcat to block deleting logs from malware. As a result, we improve detection rate from 70.9% to 89.6% comparing other container based dynamic analysis platform with proposed system.

주제어

표/그림 (12)

그림 Fig. 1. Main activity definition in AndroidManifest.xml[6]
그림 Fig. 2. Comparison of activity definition between and
그림 Fig. 3. Sample of failure to extract main activity using AAPT
표 Table 1. Comparison of dynamic analysis tools
그림 Fig. 4. Sample code of in AndroidManifest
그림 Fig. 5. Malware sample with no main activity
그림 Fig. 6. Extracting main activity from element
그림 Fig. 7. Event extraction from broadcast receiver
그림 Fig. 8. Components extraction result from malware sample
그림 Fig. 9. Malware sample with deleting logcat buffer
그림 Fig. 10. Proposed system architecture
표 Table 2. Success rate for analyzing 1000 malware samples

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 앱이 logcat에 기록된 로그를 삭제하기 위하여 무수히 많은 더미 로그를 logcat에 기록하는 기법을 시도할 수 있다. logcat이 가지는 이러한 버퍼 크기의 한계점을 악용한 분석 회피 기법에 대응하기 위하여, 본 논문에서는 실시간으로 logcat의 로그를 파일로 기록하는 시스템을 제안한다. 로그의 양이 버퍼 크기를 초과하면 logcat에 기록된 로그가 삭제되지만 파일에 저장한 로그는 삭제되지 않으므로 동적 분석 시 분석 기록을 실시간으로 파일에 저장하여 logcat의 버퍼 크기가 초과되는 문제점을 극복하고 로그를 저장하는 것이 가능하다.
대부분의 툴들은 [activity-alias]로 정의된 액티비티를 분석하지 못하였으며, 서비스 및 브로드캐스트 리시버의 경우 또한 제한적인 분석을 보여준다. 따라서 본 논문에서는 C-Android가 제공하는 동적 분석 플랫폼을 기반으로, 지능화된 악성코드의 분석 회피 기능에 대응하기 위하여 앱의 컴포넌트를 추출하고 메인 액티비티 및 백그라운드 컴포넌트를 모두 실행하여 분석 성공률을 높이는 분석 시스템을 제안한다.
본 논문에서는 분석을 회피하기 위한 기법이 적용된 안드로이드 악성 앱의 분석률을 높이기 위한 동적 분석 기능을 향상시키는 기법을 제안한다.
본 논문에서는 이러한 분석을 회피하기 위한 기법을 사용하는 안드로이드 악성 앱을 분석하기 위하여, 향상된 분석 기능을 갖는 동적 분석 시스템을 설계 및 구현하였다. AAPT와 같은 기존 도구로 제대로 추출할 수 없는 컴포넌트를 포함하여 앱에 정의된 컴포넌트를 모두 추출하며, 이를 활용하여 실제 동적 분석 시 앱의 분석 성공률과 코드 커버리지를 향상시켰다.
본 논문에서는 지능화된 악성코드를 분석하기 위하여 안드로이드 악성코드에서 분석을 회피하는 기법을 정리하고, 분석 회피 기법을 적용한 악성코드를 분석하기 위해 향상된 동적 분석 기능을 갖는 분석 시스템을 제안한다.

제안 방법

본 논문에서는 이러한 분석을 회피하기 위한 기법을 사용하는 안드로이드 악성 앱을 분석하기 위하여, 향상된 분석 기능을 갖는 동적 분석 시스템을 설계 및 구현하였다. AAPT와 같은 기존 도구로 제대로 추출할 수 없는 컴포넌트를 포함하여 앱에 정의된 컴포넌트를 모두 추출하며, 이를 활용하여 실제 동적 분석 시 앱의 분석 성공률과 코드 커버리지를 향상시켰다. 또한, 무수히 많은 더미 로그를 남겨 로그를 삭제하는 분석 회피 기법에 대응하여 실시간 로깅 시스템을 구현하였으며, 앱이 logcat의 로그를 삭제하지 못하도록 방지하는 기능을 통해 악성 행위를 숨기는 앱 또한 분석 로그를 정상적으로 수집할 수 있도록 구현하였다.
Androguard, AAPT 등 기존 도구가 추출할 수 없는 [activity-alias] 요소로 정의된 메인 액티비티를 추출하여 [activity] 요소 혹은 [activity-alias] 요소로 정의된 메인 액티비티의 이름을 추출한다.
Droidbox[11]는 안드로이드 에뮬레이터인 AVD(Android Virtual Device)에서 앱을 실행하여 파일 I/O와 SMS, 네트워크를 이용한 정보 유출의 발생을 모니터링하여 제공하는 오픈소스 도구이다. Androguard를 이용하여 동적 분석을 수행하기 위한 앱의 컴포넌트를 추출하며, TaintDroid[14]로 정보유출이 발생하는지 확인한다. 하지만, Androguard는 로 정의한 액티비티를 추출할 수 없기 때문에 Droidbox 또한 동일한 문제점이 존재한다.
시스템 콜을 커널에서 추적하기 때문에 자바와 네이티브 코드에서 발생하는 행위를 분석할 수 있다는 장점을 지닌다. 동적 분석 시 Monkeyrunner을 이용해 UI 이벤트를 랜덤으로 발생시켜 앱을 테스트한다. 그러나 앱의 서비스를 실행하지 않기 때문에 메인 액티비티가 존재하지 않는 앱의 분석이 불가능하다는 단점을 지닌다.
자바뿐만 아니라 네이티브 코드에 대한 추적이 가능하며, Droidbox와 TaintDroid를 기반으로 데이터 유출이 발생하는지 모니터링한다. 동적분석 시 Monkeyrunner를 이용하여 UI 이벤트를 발생시켜 앱을 테스트한다. 그러나 앱 컴포넌트를 추출하기 위하여 AAPT 도구를 사용하기 때문에로 정의된 메인 액티비티는 획득할 수 없어, 앱을 실행할 수 없다는 단점을 지닌다.
지능화된 악성코드는 분석 환경에서 앱이 자동 실행하는 것을 막기 위하여 컴포넌트를 숨기는 기법을 적용하고, 악성코드가 실행되는 것을 사용자에게 숨기기 위해 백그라운드에서 실행되는 컴포넌트에서 주로 악성행위를 수행한다[5]. 또한 앱에서 무의미한 더미 로그를 무한정 생성하거나 분석 로그를 삭제하여 악성코드 분석을 방해하는 기법을 사용한다. 동적 분석을 제공하는 기존 연구에서는 이러한 분석 회피 기법을 적용한 안드로이드 악성코드를 분석하는데 어려움이 있으며, 지능화되는 악성코드를 위하여 분석 시스템 또한 고도화가 이루어져야한다.
또한, logcat의 버퍼 크기를 초과하도록 더미 로그를 무수히 많이 생성하여 로그를 삭제하는 앱에 대응하기 위하여 실시간 로깅 시스템을 구현한다. 동적 분석을 시작하기 전, 분석을 수행하는 프로세스와 함께 별도의 하위 프로세스를 생성하고, 분석 도중 logcat에 기록되는 로그를 실시간으로 수집하여 파일에 기록하는 로깅 시스템을 구현한다.
AAPT와 같은 기존 도구로 제대로 추출할 수 없는 컴포넌트를 포함하여 앱에 정의된 컴포넌트를 모두 추출하며, 이를 활용하여 실제 동적 분석 시 앱의 분석 성공률과 코드 커버리지를 향상시켰다. 또한, 무수히 많은 더미 로그를 남겨 로그를 삭제하는 분석 회피 기법에 대응하여 실시간 로깅 시스템을 구현하였으며, 앱이 logcat의 로그를 삭제하지 못하도록 방지하는 기능을 통해 악성 행위를 숨기는 앱 또한 분석 로그를 정상적으로 수집할 수 있도록 구현하였다.
메인 액티비티를 실행하면 앱의 프로세스가 생성되며, 앱의 메인 액티비티가 존재하지 않을 경우 서비스가 최초 실행될 때 앱 프로세스가 생성된다. 메인 액티비티를 실행한 후 코드 커버리지를 향상시키기 위해 앱에 포함된 모든 서비스들을 실행하며, 브로드캐스트 리시버에서 수신하는 모든 인텐트 이벤트를 실행한다. 이후 Monkey tool로 UI 이벤트를 랜덤으로 발생시켜 앱을 테스트한다.
본 논문에서 제안한 분석 기능의 성능 향상을 확인하기 위해 악성 앱을 이용한 분석 실험을 진행하였다. 실험을 위하여 안드로이드 동적 분석 플랫폼인 AMAaaS[16]에서 제공한 안드로이드 악성 앱 1000개를 분석 샘플로 사용하였다.
본 논문에서는 안드로이드 앱의 컴포넌트를 추출하고, C-Android의 컨테이너 기반 동적 분석 플랫폼을 이용하여 앱의 컴포넌트를 실행하여 구동률을 향상시키는 시스템을 설계 및 구현한다. 앞서 언급한 바와 같이, 안드로이드 악성 앱은 [activity-alias] 요소를 이용하여 앱의 메인 액티비티를 숨기는 회피 기법을 적용할 수 있다.
또한, 서비스와 브로드캐스트 리시버를 이용하여 악성 행위를 수행하여 사용자에게 보이지 않는 기법이 존재한다. 이러한 지능화된 악성 앱을 분석하기 위하여 정적 분석을 통해 앱의 컴포넌트를 추출하고, 추출한 컴포넌트를 실행하여 동적 분석을 수행하는 기법을 설계 및 구현한다.
Mobile-Sandbox[13]는 QEMU를 기반으로 하는 안드로이드 에뮬레이터로 자동 분석을 수행하는 시스템이다. 자바뿐만 아니라 네이티브 코드에 대한 추적이 가능하며, Droidbox와 TaintDroid를 기반으로 데이터 유출이 발생하는지 모니터링한다. 동적분석 시 Monkeyrunner를 이용하여 UI 이벤트를 발생시켜 앱을 테스트한다.
Tracedroid[9]는 QEMU 기반 안드로이드 에뮬레이터로 동적 분석을 수행하며, 안드로이드 프레임워크를 수정 후 빌드 한 분석 플랫폼을 이용한다. 함수 호출을 추적하기 위하여 바이트코드 인터프리터를 후킹하고, 네이티브 코드에서 호출하는 시스템 콜을 분석하기 위해 strace를 이용한다. 앱의 액티비티와 서비스를 추출하기 위하여 Androguard를 이용하기 때문에 메인 액티비티를 [activity-alias]로 정의한 경우 메인 액티비티를 실행할 수 없다는 문제점을 지닌다.

대상 데이터

실험을 위하여 안드로이드 동적 분석 플랫폼인 AMAaaS[16]에서 제공한 안드로이드 악성 앱 1000개를 분석 샘플로 사용하였다. 실험 환경으로 C-Android[14]에서 제공하는 컨테이너를 동적 분석 플랫폼으로 이용하였다. 비교 대상은 제안 기법을 적용하지 않은 분석 결과이며, 동일한 분석 환경에서 [activity] 요소를 이용하여 정의된 메인 액티비티만 실행하여 분석을 수행하였다.
본 논문에서 제안한 분석 기능의 성능 향상을 확인하기 위해 악성 앱을 이용한 분석 실험을 진행하였다. 실험을 위하여 안드로이드 동적 분석 플랫폼인 AMAaaS[16]에서 제공한 안드로이드 악성 앱 1000개를 분석 샘플로 사용하였다. 실험 환경으로 C-Android[14]에서 제공하는 컨테이너를 동적 분석 플랫폼으로 이용하였다.

데이터처리

비교 대상은 제안 기법을 적용하지 않은 분석 결과이며, 동일한 분석 환경에서 [activity] 요소를 이용하여 정의된 메인 액티비티만 실행하여 분석을 수행하였다.

성능/효과

브로드캐스트 리시버는 리시버에 등록된 이벤트를 방송하면 이를 수신하여 실행되는 컴포넌트이며, 해당 인텐트 이벤트를 발생하는 것으로 브로드캐스트 리시버를 실행할 수 있다. 따라서 동적 분석 시, AndroidManifest.xml를 파싱하여 브로드캐스트 리시버에 등록된 이벤트를 모두 발생시켜 리시버를 실행할 수 있으며, 이에 따라 동적 분석의 코드 커버리지를 향상시킬 수 있다.
안드로이드의 logcat은 /system/bin 디렉토리 내부 logcat 경로에 존재하며, 이를 수정된 logcat으로 대체할 수 있다. 본 논문의 분석 시스템은 동적 분석 플랫폼으로 C-Android에서 제공하는 안드로이드 컨테이너를 이용하기 때문에 logcat을 대체하는 것이 가능하다. 수정된 logcat 실행파일은 로그 삭제를 제외한 모든 기능을 정상적으로 수행할 수 있기 때문에 앱이 logcat을 사용하더라도 에러가 발생하지 않고 정상적으로 동작할 수 있다.
xml의 형식이 올바르지 않은 경우, 앱 서명이 올바르게 서명되지 않은 경우, APK 파일 형식이 맞지 않는 경우 등 앱 자체가 가지는 문제점으로 인해 설치가 불가능한 경우이다. 이러한 앱은 실제 단말인 Nexus 5로 실험한 결과, 실제 단말에서도 마찬가지로 설치가 불가능함을 확인하였다.
[activity-alias]로 메인 액티비티를 정의하는 기법을 적용하였으나 정상적으로 메인 액티비티를 추출할 수 있으며, 앱 내의 서비스와 브로드캐스트 리시버 및 브로드캐스트 리시버에서 수신하는 인텐트 이벤트의 목록을 추출할 수 있다. 이를 바탕으로 동적 분석 시, 앱의 컴포넌트를 실행하여 앱의 실행율을 증가시키고 코드 커버리지를 향상시킬 수 있다.
은 실제 악성 앱이 동적 분석 중 logcat의 로그를 삭제하기 위해 “logcat –c” 명령어를 수행했음을 나타낸다. 이와 같이 악성 앱이 로그 삭제를 시도할 수 있으나, 본 논문에서 제안한 시스템은 로그 삭제 기능을 제공하지 않는 수정한 logcat을 이용하였기 때문에 분석 로그는 삭제되지 않으면서 앱 또한 정상적으로 동작하여 분석을 수행할 수 있다는 장점을 지닌다.

후속연구

따라서 동적 분석 기능을 보다 향상시키기 위해 로직밤에 대한 추가적인 대응 기법이 필요하다. 이를 위하여 앱에 대한 정적 분석을 통해 앱이 악성행위를 수행하기 위한 로직밤의 조건을 추출하고, 해당 조건을 충족할 수 있도록 분석 시스템 혹은 분석 환경을 고도화하는 연구가 필요할 것이다.
하지만 악성 앱이 특정 조건이 충족되어야만 악성 행위를 수행하는 로직밤 기법을 적용하여 동적 분석을 회피할 수 있으며, 본 논문에서 제안하는 기법은 이러한 로직밤에 대응할 수 없다는 한계점을 가진다. 따라서 동적 분석 기능을 보다 향상시키기 위해 로직밤에 대한 추가적인 대응 기법이 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	안드로이드 앱은 최초 실행 시 어떤 컴포넌트가 실행되는가?	안드로이드 앱은 앱 아이콘을 클릭하는 것으로 앱을 실행할 수 있으며, 최초 실행 시 아이콘에 매핑된 컴포넌트인 메인 액티비티가 실행된다. 앱에서 사용되는 컴포넌트는 AndroidManifest.
	앱에서 사용되는 컴포넌트가 정의되는 곳은?	안드로이드 앱은 앱 아이콘을 클릭하는 것으로 앱을 실행할 수 있으며, 최초 실행 시 아이콘에 매핑된 컴포넌트인 메인 액티비티가 실행된다. 앱에서 사용되는 컴포넌트는 AndroidManifest.xml 파일에서 정의한다. Fig.
	악성행위의 지능화로 인한 컴포넌트의 보안 문제는?	악성코드는 악성행위를 숨기기 위하여 백그라운드에서 동작하는 컴포넌트를 주로 활용하고, 자동화된 스크립트로 악성 앱을 실행할 수 없도록 activity-alias 기능으로 실행을 방해하고, 악성행위가 발견되는 것을 막기 위해 logcat의 로그를 삭제하는 등 지능화되어간다. 악성코드의 숨겨진 컴포넌트는 기존 정적 분석 도구로 추출하기 어려우며, 기존 동적 분석을 통한 연구는 컴포넌트를 일부만 실행하기 때문에 분석 결과를 충분히 제공하지 못한다는 문제점을 지닌다. 본 논문에서는 이러한 지능화된 악성코드의 동적 분석 성공률을 증가시키기 위한 시스템을 설계하고 구현하였다.

참고문헌 (16)

StateCounter, "mobile market share" Mobile operating system market share worldwide, 2018. http://gs.statcounter. com/os-market-share/mobile/worldwide, 2018-12-05.
IDC, "mobile os" Smartphone OS Market Share, https://www.idc.com/promo/smartphone-market-share/os, 2018-12-07.
Tiwari, Suman R, "A survey of Android malware Detection Technique", Journal of Network Communications and Emerging Technologies vol.8, no.4, 2018.
McAfee, "mobile threat" McAfee Labs Threats Report, 2018-12-07.
Shan, Zhiyong, Iulian Neamtiu, and Raina Samuel, "Self-hiding behavior in Android apps: detection and characterization," Proceedings of the 40th International Conference on Software Engineering, ACM, 2018.
AndroidDevelopers, "android activity" https://developer.android.com/training/basics/activity-lifecycle/starting, 2018-12-12.
AAPT, "android parsing tool" https://developer.android.com/studio/command-line/aapt2, 2018-12-12.
Androguard, "android obfuscation" https://github.com/androguard/androguard, 2018-12-16.
Van Der Veen, Victor, Herbert Bos, and Christian Rossow, "Dynamic analysis of android malware," Internet & Web Technology Master thesis, VU University Amsterdam, August, 2013.
Kimberly Tam, Salahuddin J. Khan, Aristide Fattori, Lorenzo Cavallaro, "CopperDroid: Automatic Reconstruction of Android Malware Behaviors," NDSS, February, 2015.
Lantz, Patrik, "An android application sandbox for dynamic analysis," Master, lectrical and Information Technology, Lund university, Lund, Sweden, November, 2011.
Michael Spreitzenbarth, Thomas Schreck, Florian Echtler, Daniel Arp, Johannes Hoffmann, "Mobile-Sandbox: combining static and dynamic analysis with machine-learning techniques," International Journal of Information Security, vol. 14, no.2, pp.141-153, April, 2015.

상세보기
Chau, Ngoc-Tu, Souhwan Jung, "Dynamic analysis with Android container: Challenges and opportunities," Digital Investigation, 27, pp. 38-46, March, 2018.

상세보기
William Enck, Peter Gilbert, Seungyeop Han, Vasant Tendulkar, Byung-Gon Chun, Landon P. Cox, Jaeyeon Jung, Patrick McDaniel, Anmol N. Sheth, "TaintDroid: an information-flow tracking system for realtime privacy monitoring on smartphones," ACM Transactions on Computer Systems (TOCS), vol.32, no.2, June, 2014.
Linux Containers, "linux container" https://linuxcontainers.org/, 2019-05-18
AMAaaS, "amaaas.com" https://amaaas.com, 2019-05-19

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증