$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] Office Open XML 문서 기반 악성코드 분석 및 탐지 방법에 대한 연구
A Study of Office Open XML Document-Based Malicious Code Analysis and Detection Methods 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.3, 2020년, pp.429 - 442  

이덕규 (고려대학교 정보보호대학원) ,  이상진 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

최근 침해사고에서 오피스 문서를 통한 공격 비중이 높아지고 있다. 오피스 문서 어플리케이션의 보안이 점차 강화되어왔음에도 불구하고 공격기술의 고도화, 사회공학 기법의 복합적 사용으로 현재도 오피스 문서를 통한 공격이 유효하다. 본 논문에서는 악성 OOXML(Office Open XML) 문서 탐지 방법과 탐지를 위한 프레임워크를 제안한다. 이를 위해 공격에 사용된 악성파일과 정상파일을 악성코드 저장소와 검색엔진에서 수집하였다. 수집한 파일들의 악성코드 유형을 분석하여 문서 내 악성 여부를 판단하는데 유의미한 의심 개체요소 6가지를 구분하였으며, 악성코드 유형별 개체요소 탐지 방법을 제안한다. 또한, 탐지 방법을 바탕으로 OOXML 문서 기반 악성코드 탐지 프레임워크를 구현하여 수집된 파일을 분류한 결과 악성 파일셋 중 98.45%에 대해 탐지함을 확인하였다.

Abstract AI-Helper 아이콘AI-Helper

The proportion of attacks via office documents is increasing in recent incidents. Although the security of office applications has been strengthened gradually, the attacks through the office documents are still effective due to the sophisticated use of social engineering techniques and advanced atta...

주제어

#OOXML   #Microsoft Office   #documents   #malware  

표/그림 (21)

질의응답

핵심어 질문 논문에서 추출한 답변
DDE 기능의 목적은 무엇인가? 일반적으로 “DDE” 또는 “DDEAUTO” 키워드를 사용하여 해당 기능을 호출한다. DDE 기능은 원격지에 있는 제3자에게 정보가 공유되도록 하거나 프로그램 간 편의성 있는 통신을 목적으로 한다. 이를 통해 공격자는 임의의 코드 실행 또는 외부 개체를 참조하여 코드 또는 바이너리를 실행할 수 있다.
OOXML 문서에는 어떤 형태가 있는가? OOXML(Office Open XML) 문서는 구조적으로 오피스 내의 기능을 이용한 형태와 파일 내부에 포함 가능한 외부개체를 이용한 형태, 실행 시 동적으로 참조되어 다운로드되는 개체를 이용한 형태가 있다. 본 논문에서는 이에 발생할 수 있는 문제점에 대해서 다루고, 악성 OOXML 문서 파일을 분석하여 공격을 위해 포함된 개체에 따라 사용된 공격 기법을 분류하여 해당 악성 개체를 기반으로 한 탐지방법 및 탐지 프레임워크를 제안한다.
Office Open XML 문서 규격은 무엇을 포함하고 있는가? Office Open XML은 XML을 기반으로 한 파일포맷으로서, Microsoft가 추진하여 ECMA-376[9], ISO/IEC 29500[10]으로 승인된 표준 포맷이다. 이 문서 규격은 Word processing documents, Presentation, Spreadsheet를 포함하고 있다. 확장자는 기존의 확장자에서 “x”의 postfix가 추가된 형태로 .
질의응답 정보가 도움이 되었나요?

참고문헌 (15)

  1. Kaspersky, "Kaspersky Security Bulletin STATISTICS 2016-2019", https://securelist.com, March. 2020. 

  2. J. Hurtuk, M. Chovanec, M. Kicina and R. Billik, "Case Study of Ransomware Malware Hiding Using Obfuscation Methods," International Conference on Emerging eLearning Technologies and Applications, pp. 216-217, 2018. 

  3. Bora Park, Jungheum Park and Sangjin Lee, "Data concealment and detection in Microsoft Office 2007 files," Digital Investigation, vol. 5(3-4), pp. 149-152, 2009. 

  4. Muhammad Ali Raffay et al. "Data Hiding and Detection in Office Open XML (OOXML) Documents," University of Ontario Institute of Technology, pp. 52-57, 2011. 

  5. Fu Z., Sun X., Zhou L. and Shu J. "New Forensic Methods for OOXML Format Documents," Digital-Forensics and Watermarking, IWDW, pp. 507-511, 2013. 

  6. SungHye Cho and SangJin Lee, "A Research of Anomaly Detection Method in MS Office Document," KIPS Transactions on Computer and Communication Systems, 6(2), pp. 87-94, Feb. 2017. 

    원문보기 상세보기 crossref

  7. M. Li, Y. Liu, M. Yu, G. Li, Y. Wang and C. Liu, "FEPDF: A Robust Feature Extractor for Malicious PDF Detection," IEEE Trustcom/BigDataSE/ICESS, NSW, pp. 218-224, 2017. 

  8. N. Nissim, A. Cohen and Y. Elovici, "ALDOCX: Detection of Unknown Malicious Microsoft Office Documents Using Designated Active Learning Methods Based on New Structural Feature Extraction Methodology," IEEE Transactions on Information Forensics and Security, vol. 12, no. 3, pp 631-646, 2017. 

    상세보기 crossref

  9. ECMA-376, "Office Open XML File Formats", https://www.ecma-international.org/publications/standards/Ecma-376.htm, Feb. 2020. 

  10. ISO/IEC 29500, "Office Open XML File Formats", https://www.iso.org/standard/71691.html, Feb. 2020. 

  11. Australian Cyber Security Centre(ACSC), "Microsoft Office Macro Security" Security Report, https://www.cyber.gov.au/publications/microsoft-office-macro-security, Oct, 2019. 

  12. Australian Cyber Security Centre(ACSC), "Hardening Microsoft Office 365 ProPlus, Office 2019 and Office 2016" Security Report, https://www.cyber.gov.au/publications/hardening-microsoft-office-365-proplus-office-2019-and-office-2016, Oct, 2019. 

  13. GreyHatHacker.NET, "Detecting Malicious Microsoft Office Macro Documents", www.greyhathacker.net/?p872, Oct, 2019. 

  14. GreyHatHacker.NET, "Running Macros via ActiveX Controls", www.greyhathacker.net/?p948, Oct, 2019. 

  15. Microsoft Open Specifications, "2.1.839 Part 1 Section 18.14.4, ddeLink (DDE Connection)", https://docs.microsoft.com/en-us/dotnet/api/documentformat.openxml.spreadsheet.ddelink?viewopenxml-2.8.1, Oct, 2019. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로