[논문]악성메일 훈련 모델에 관한 연구

강영묵; 이상진

doi:10.13089/jkiisc.2020.30.2.197

악성메일 훈련 모델에 관한 연구
A Study On Malicious Mail Training Model 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.2, 2020년, pp.197 - 212

강영묵 (고려대학교 정보보호대학원) , 이상진 (고려대학교 정보보호대학원)

초록
AI-Helper

가상 화폐와 전자 지갑의 등장으로 익명성을 기반으로 금전적 이득을 취할 수 있는 방법이 생김에 따라, 악성메일을 이용한 피싱과 악성코드의 전파가 지속적으로 증가하고 있다. 이에 대한 피해를 최소화하기 위해서는 인적 요소인 보안인식과 기술적 요소인 대응 능력을 고루 향상시켜야 하며, 이는 실전과 같은 악성메일 대응 훈련을 통해 향상될 수 있다. 본 연구에서는 실전과 같은 악성메일 훈련 수행을 고려한 모델을 제시하였다. 임직원들의 보안인식 향상을 위한 인식 제고 훈련과 악성메일 침투에 대한 대응 능력을 향상시키기 위한 탐지 및 대응 훈련으로 분류하여 목적에 맞는 훈련 시스템, 훈련용 악성코드의 주요 기능, 구현 및 위장 기법, 기술적 대책 우회 기법에 대해 서술하였다. 이 모델을 바탕으로 3년간 수행한 훈련 데이터를 수집하였으며, 훈련횟수, 훈련테마, 위장기법에 따른 결과 분석을 통해 훈련의 효과성을 연구하였다.

Abstract ▼ AI-Helper

With the advent of virtual currency and electronic wallets creating a way to make financial gains based on anonymity, malicious code dissemination using malicious mail has continued to increase. In order to minimize the damage, the human factors, security awareness and the ability to respond, which are technical factors, should be improved evenly, which can be improved through malicious mail training. This study presented a model considering the performance of malicious mail training, such as practice. It was classified as a training for enhancing awareness of security for employees and detection and response to improve their ability to respond to malicious mail. A training system suitable for the purpose, the core functions of malware training, implementation and camouflage skills, and bypass techniques were described. Based on the above model, the training data conducted over three years were collected and the effectiveness of the training was studied through analysis of the results according to the number of training sessions, training themes and camouflage techniques.

주제어

표/그림 (13)

표 Table 1. Classification of Malicious mail training
그림 Fig. 1. Malicious Mail Training Model Design
그림 Fig. 2. Training Malware Running Flow
그림 Fig. 3. Training Malware Custom Packing
표 Table 2. Evasion Tactic/Technique
표 Table 3. Camouflage Implementation Technique
그림 Fig. 4. Infection Result by Awareness Training
그림 Fig. 5. Treatment by Awareness Training
표 Table 4. Classification of Theme
표 Table 5. Classification of Camouflage by Awareness Training
그림 Fig. 6. Detecton & Response Training Defense Rate
표 Table 6. Classification of Camouflage by Detection and Response Training
표 Table 7. Malicious Training Result Summary

질의응답

핵심어	질문	논문에서 추출한 답변
	무엇을 사용하여 악성코드를 은닉하거나, 분석을 방해하는가?	공격용 메일 및 첨부되는 악성코드가 지속적으로 지능화되어 기술적 대책들을 우회하기 때문이다. 악성코드 분석 회피 기술, 루트킷 적용, Anti-VM, Anti-SandBox, 실행 압축, 코드 난독화 등의 기법을 사용하여 악성코드를 은닉하거나, 분석을 방해 하고 있다.
	임직원 보안인식 제고를 위한 훈련용 악성코드의 목적은 무엇인가?	첫 번째는 임직원 보안인식 제고를 위한 훈련용 악성코드이다. 감염안내 팝업 생성, 화면 잠금, 파일암호화 등의 기법을 통해 경각심을 일깨워주는 것을 목적으로 한다.
	역분석 방해는 어떤 기능인가?	역분석 방해는 악성코드의 분석을 방해하여 탐지 룰을 쉽게 만들지 못하게 하는 기능이다. 탐지 및 대응 훈련용 악성코드에 적용된 역분석 방해기법은 디버깅 방해, 동적 분석 툴의 실행 방지이다.

참고문헌 (24)

Mimecast, "The State of Email Security Report 2019", https://www.mimecast.com/resources/press-releases/dates/2019/5/state-of-email-security-2019, May. 2019.
Financial Security Institute, "2020 Cyber Threat and Prospecting Report", http://www.fsec.or.kr/common/proc/fsec/bbs/41/fileDownLoad/2237.do, Dec. 2019.
In-Sook Jang, "A Study On Cybersecurity Training and Exercise Format", Proceedings of the 2016 KISS conference, pp.1039-1041, Jun. 2016.
Eric Johnson, "Why Training Doesn't Mitigate Phishing", https://www.bankinfosecurity.com/interviews/spear-phishing-training-weaknesses-idd-i-2148, Jan. 2014.
AT Stephanou, "The impact ofinformation security awareness training on information security behaviour: the case for further research", Proceedings of the ISSA 2008 Innovative Minds Conference, pp.309-329, Jul. 2008
S. Sheng, "Who Falls for Phish? A Demographic Analysis of Phishing Susceptibility and Effectiveness of Interventions," Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, pp.373-382, Apr. 2010.
Deanna D. Caputo, "Going Spear Phishing: Exploring Embedded Training and Awareness", IEEE security & privacy v.12 no.1, pp.28-38, Aug. 2013.

상세보기
Duck-sang Yoon, "A Study on the Change of Capability and Behavior against Phishing Attack by Continuous Practical Simulation Training," Journal of the Korea Institute of Information Security &Cryptology 27(2), pp.267-279, Apr. 2017.

원문보기 상세보기
Jun-hee Lee, "A Study on Human Vulnerability Factors of Companies :Through Spam Mail Simulation Training Experiments", Journal of the Korea Institute of Information Security & Cryptology 29(4), pp.847-857, Aug. 2019.

원문보기 상세보기
KISA, "Wannacry Analysis Special Report", https://www.boho.or.kr/filedownload.do?attach_file_seq2235&attach_file_idEpF2235.pdf, Oct. 2017.
KISA, "Cyber Security Issue Report : Q2 2019", https://www.boho.or.kr/filedownload.do?attach_file_seq2235&attach_file_idEpF2235.pdf, Aug. 2019.
Jae-hwi Lee, "A Study on API Wrapping in Themida and Unpacking Technique", Journal of the Korea Institute of Information Security and Cryptology v.27 no.1, pp.67-77, Feb. 2017.

원문보기 상세보기
Kyung-Roul Lee, "A New Analysis Method for Packed Malicious Codes", Journal of advanced navigation technology v.16 no.3 no.54, pp.488-494. Feb. 2012.

원문보기 상세보기
Kyeong Sik Lee, "Research on Bypass the malware dynamic analysis and Response method", Proceedings of the 2017 KISS conference, pp.1069-1071, Jul. 2017.
AMIR AFIANIAN, "Malware Dynamic Analysis Evasion Techniques: A Survey", ACM Computing Surveys, Vol. 52, No. 6 Article 126, Nov. 2019.
Woo-Jin Joe, "Method of detecting variant malicious codes using behavior signature", Proceedings of the 2018 KISS conference, pp.1026-1028, Dec. 2018.
Jae Hyuk Suk. "Analysis of Virtualization Obfuscated Executable Files and Implementation of Automatic Analysis Tool", Journal of the Korea Institute of Information Security and Cryptology v.23 no.4, pp.709-720, Aug. 2013.

원문보기 상세보기
Seong-Kyun Mok, "Program Slicing for Binary code Deobfuscation", Journal of the Korea Institute of Information Security & Cryptology 27(1), pp.59-66, Feb. 2017.

원문보기 상세보기
Lee Kyung-Roul, "A Novel Process Design for Analyzing Malicious Codes That Bypass Analysis Techniques", Informatization policy v.24 no.4 no.93, pp.68-78, Dec. 2017.
Choi suk-woo, "Method Of Obfuscation Binary Analysis" Communications of the Korean Institute of Information Scientists and Engineers v.36 no.3, pp.26-31, Mar. 2018.
Ah Reum Kang, "Detection of Malicious PDF based on Document Structure Features and Stream Objects", Journal of The Korea Society of Computer and Information Vol. 23 No. 11, pp. 85-93, Nov. 2018.

원문보기 상세보기
Financial Security Institute, "Campaign DOKKAIEBI", http://www.fsec.or.kr/common/proc/fsec/bbs/163/fileDownLoad/1754.do, Aug. 2018.
Financial Security Institute, "TA505 Threat Group Profiling", http://www.fsec.or.kr/common/proc/fsec/bbs/163/fileDownLoad/2297.do, Aug. 2020.
Financial Security Institute, "Campaign RIFLE", http://www.fsec.or.kr/common/proc/fsec/bbs/163/fileDownLoad/1752.do, Jul. 2017.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증