[논문]스레드 기반 모니터링을 통한 악의적인 행위 주체 추적 및 차단에 관한 연구

고보승; 최원혁; 정다정

doi:10.13089/jkiisc.2020.30.1.75

스레드 기반 모니터링을 통한 악의적인 행위 주체 추적 및 차단에 관한 연구
A Study on the Tracking and Blocking of Malicious Actors through Thread-Based Monitoring 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.1, 2020년, pp.75 - 86

고보승 ((주)누리랩) , 최원혁 ((주)누리랩) , 정다정 ((주)누리랩)

초록
AI-Helper

최근 윈도우즈 운영체제 환경에서 악성코드가 고도화됨에 따라 악의적인 행위를 수행하는 주체가 프로세스가 아닌 경우가 많이 발생하고 있다. 운영체제에 기본적으로 탑재된 프로세스 등에 삽입되어 동작하는 악성코드는 DLL/코드 인젝션과 같은 방식으로 스레드 단위로 동작한다. 이 경우 프로세스 단위로 악성 유무를 진단 및 차단하는 것은 시스템 운영에 심각한 문제를 야기할 수도 있다. 본 논문에서는 프로세스 기반 모니터링 정보를 사용하여 프로세스의 악성유무를 판단하고 차단하는 방법이 가지고 있는 문제점을 나열하고 그에 대한 개선된 방안을 제시한다.

Abstract ▼ AI-Helper

With the recent advancement of malware, the actors performing malicious tasks are often not processes. Malicious code injected into the process that is installed by default in the operating system works thread by thread in the same way as DLL / code injection. In this case, diagnosing and blocking the process as malicious can cause serious problems with system operation. This white paper lists the problems of how to use process-based monitoring information to identify and block the malicious state of a process and presents an improved solution.

주제어

표/그림 (21)

표 Table 1. File Actions
표 Table 2. Data Structure for File Information
표 Table 3. Registry Actions
표 Table 4. Data Structure for Registry Information
표 Table 5. Process/Thread Actions
표 Table 6. Data Structure for Process/Thread Information
그림 Fig. 1. PCREATE_THREAD_NOTIFY_ROUTINE callback function
표 Table 7. Thread Creation Table
그림 Fig. 2. The case of malicious behavior of RemoteThread
그림 Fig. 3. Malicious behavior case caused by the RemoteThread's derived thread
표 Table 8. Advanced Thread Creation Table
그림 Fig. 4. Thread based monitoring
그림 Fig. 5. Monitoring data structure
그림 Fig. 6. Overview of thread behavior based detection and denial
그림 Fig. 7. Create the same executable
그림 Fig. 8. umiwbmj.exe created a remote thread in explorer.exe
표 Table 9. Ransomware samples
그림 Fig. 9. Malicious behavior is performed by the remote thread in explorer.exe
그림 Fig. 10. gandcrab created a remote thread in wermgr.exe
그림 Fig. 11. Malicious behavior is performed by the remote thread in wermgr.exe
그림 Fig. 12. SymmyWare created a remote thread in explorer.exe

질의응답

핵심어	질문	논문에서 추출한 답변
	파일 시그너처를 사용하여 악성코드를 진단하는 방법이 한계를 갖는 이유는 무엇인가?	서론에서도 잠시 언급했듯이 파일 시그너처를 사용하여 악성코드를 진단하는 방법은 그 한계가 있다. 악성코드의 증가율에 비해서 시그너처 DB의 양을 늘리는 것이 항상 뒤쳐질 수밖에 없기 때문이다. 더불어 악성코드의 동작이 파일리스(fileless) 방식[7]을 사용한다면 이러한 문제는 더욱 심각해진다.
	레지스트리 연산을 모니터링하기 위해 필요한 함수는 무엇인가?	레지스트리 연산을 모니터링 하기 위해서 필요한 함수는 CmRegisterCallback(Ex) 함수[4]이다. 이함수를 미니필터 드라이버에서 호출하여 다양한 레지스트리 연산 정보를 콜백함수로 전달받을 수 있다.
	악성코드를 진단하는 가장 간단한 방법은 무엇인가?	악성코드를 진단하는 가장 간단한 방법은 실행파일에 대한 시그너처를 생성하여 이미 알려진 악성코드 DB와 패턴 매칭을 수행하거나 해시값으로 비교하는 것이다. 하지만 이러한 방법은 악성코드가 빠른 속도로 늘어나고 있는 상황에서는 적절하지 않다.

참고문헌 (18)

Myungcheol Lee, Daesung Moon and Ikkyun Kim, "Real-time Abnormal Behavior Detection System based on Fast Data," Journal of The Korea Institute of information Security & Cryptology, 25(5), pp. 1027-1041, Oct. 2015.

원문보기 상세보기
Microsoft Docs, "Filter Manager and Minifilter Driver Architecture" https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/filter-manager-and-minifilter-driver-architecture/, Jan. 7 2020.
Microsoft Docs, "Process Monitor" https://docs.microsoft.com/en-us/sysinternals/downloads/procmon/, Jan. 7 2020.
Microsoft Docs, "CmRegisterCallbackEx" https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-cmregistercallbackex/, Jan. 7 2020.
Microsoft Docs, "PsSetCreateProcessNotifyRoutineEx" https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetcreateprocessnotifyroutineex/, Jan. 7 2020.
Microsoft Docs, "PsSetCreateThreadNotifyRoutine" https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetcreatethreadnotifyroutine/, Jan. 7 2020.
Wikipedia, "Fileless malware" https://en.wikipedia.org/wiki/Fileless_malware, Jan. 7 2020.
Trendmicro, "Command and Control [C&C] Server" https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server, Jan. 7 2020.
Red Teaming Experiments, "Reflective DLL Injection" https://ired.team/offensive-security/code-injection-process-injection/reflective-dll-injection, Jan. 7 2020.
Microsoft Docs, "CRITICAL_OBJECT_T ERMINATION" https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-0xf4-critical-object-termination, Jan. 7 2020.
Raymond J. Canzanese, Jr, "Detection and classification of malicious processes using system call analysis," Doctor of Philosophy, Drexel University, May 2015.
Microsoft Docs, "PsGetCurrentProcessId" https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nfntddk-psgetcurrentprocessid/, Jan. 7 2020.
Microsoft Docs, "PsGetCurrentThreadId" https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nfntddk-psgetcurrentthreadid/, Jan. 7 2020.
Microsoft Docs, "CreateRemoteThread" https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createremotethread/, Jan. 7 2020.
Wikipedia, "Hash table" https://en.wikipedia.org/wiki/Hash_table, Jan. 7 2020.
Wikipedia, "CryptoLocker" https://en.wikipedia.org/wiki/CryptoLocker, Jan.7 2020.
Malwarebytes, "GandCrab" https://www.malwarebytes.com/gandcrab/, Jan.7 2020.
PCrisk, "SymmyWare" https://www.pcrisk.com/removal-guides/13980-symmyware-ransomware, Jan. 7 2020.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증