[논문]The Next Generation Malware Information Collection Architecture for Cybercrime Investigation

Cho, Ho-Mook; Bae, Chang-Su; Jang, Jaehoon; Choi, Sang-Yong

doi:10.9708/jksci.2020.25.11.123

The Next Generation Malware Information Collection Architecture for Cybercrime Investigation 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.25 no.11, 2020년, pp.123 - 129

Cho, Ho-Mook (Cyber Security Research Center, KAIST) , Bae, Chang-Su (APEX ESC) , Jang, Jaehoon (APEX ESC) , Choi, Sang-Yong (Dept. of Cyber Security, Yeungnam University College)

초록
AI-Helper

최근 사이버범죄는 가상화 기술, 유포지 추적 회피 등 다양한 기술 등의 새로운 기술을 적용하여 추적이 점점 어려워지고 있다. 따라서 전통적인 악성코드 분석방법인 정적분석, 동적 분석 등 방법은 악성코드 유포자를 추적하는 데 한계가 있다. 또한, 사이버 수사 분야에서는 악성코드 자체에 대한 분석보다 악성코드 유포자를 추적하는 것이 더욱 중요하다. 이에 따라, 본 논문에서는 악성코드 유포자를 효율적으로 추적하기 위해 전통적인 분석방법과 OSINT, Intelligence 등 최근의 정보수집 방법을 융합한 차세대 악성코드 정보수집 아키텍처를 제안한다. 본 논문에서 제안하는 아키텍처는 기존의 악성코드 분석체계와 수사관점의 분석체계의 차이점을 기반으로 사이버범죄의 관점에서 필요한 요소기술을 연관시킴으로 인해 사이버 범죄 수사에서 유포자 추적을 위한 핵심적인 접근 방법이 될 수 있다.

Abstract ▼ AI-Helper

Recently, cybercrime has become increasingly difficult to track by applying new technologies such as virtualization technology and distribution tracking avoidance. etc. Therefore, there is a limit to the technology of tracking distributors based on malicious code information through static and dynamic analysis methods. In addition, in the field of cyber investigation, it is more important to track down malicious code distributors than to analyze malicious codes themselves. Accordingly, in this paper, we propose a next-generation malicious code information collection architecture to efficiently track down malicious code distributors by converging traditional analysis methods and recent information collection methods such as OSINT and Intelligence. The architecture we propose in this paper is based on the differences between the existing malicious code analysis system and the investigation point's analysis system, which relates the necessary elemental technologies from the perspective of cybercrime. Thus, the proposed architecture could be a key approach to tracking distributors in cyber criminal investigations.

주제어

표/그림 (6)

그림 Fig. 1. Drive-by download attack
그림 Fig. 2. IDA pro
그림 Fig. 3. Cuckoo Sandbox
그림 Fig. 4. C-TAS
표 Table 1. Composition of a step-by-step malicious code analysis architecture based on cyber investigation
그림 Fig. 5. Analyzer Structure

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 악성코드 분석을 사이버 수사에 활용하기 위한 접근 방법을 살펴보았다. 최근 사이버범죄의 대부분은 악성코드로 이루어지는데, 이러한 이유로 악성코드를 분석하는 것은 사이버범죄 수사의 대부분을 차지한다.
본 논문에서는 이와 같은 한계점을 해결하고 보다 효과적으로 수사에 적용하여 악성코드로 인한 피해를 최소화하고 유포자를 추적하기 위해 기술적인 악성코드 분석방법과 OSINT(Open-source intelligence)기법 등을 적용하여 악성코드에 대한 정보뿐만 아니라 악성코드를 통해 악성코드를 유포한 유포자에 대한 정보를 연관 분석할 수 있는 차세대 악성코드 정보수집 시스템을 제안한다. 제안하는 시스템의 아키텍처는 사이버 수사 업무프로세스에 기반을 두어 사이버 수사 각 단계에 따라 어떤 기술과 알고리즘을 활용하여 악성 정보를 수집할 것인지를 명확하게 함으로 차세대 사이버 수사의 방향성을 제안하고자 한다.
하지만 단순히 악성코드의 행위를 분석하는 것은 악성코드로 인한 피해를 예방하는 데는 도움을 주지만, 사이버 수사의 관점에서 유포자를 찾아내고 추적하는 데는 한계가 있다. 이러한 한계를 극복하기 위해 본 논문에서는 악성코드 자체의 정보와 OSINT 및 Intelligence를 연계 분석하여 사이버 수사관이 악성코드를 유포하는 범죄자를 찾아내기 위한 차세대 분석 플랫폼 아키텍처를 제안한다. 본 논문에서 제안한 아키텍처를 활용하면 단순한 악성코드 행위정보뿐만 아니라 이를 통해 악성코드 유포자를 특징 지을 수 있는 핵심적인 정보를 찾는 데 도움을 줄 수 있을 것으로 기대한다.

제안 방법

이를 위해 본 논문은 2장에서 악성코드 분석방법을 조사하고, 사이버 수사 업무에 악성코드 분석방법 및 정보분석 방법 등을 효과적으로 적용하기 위한 방안을 도출한다. 그리고 3장에서 제안하는 차세대 사이버 수사 업무프로세스 기반 악성코드 분석 아키텍처를 설계하고, 아키텍처의 각 단계를 설명한다.
이후 3단계에서 OSINT와 Intelligence를 통해 공개 출처정보와의 연계 정보 및 빅데이터 연계 정보를 수집한 다음, 악성코드 자체의 분석 결과와 OSINT&Intelligence 정보를 연관분석하여 사이버 수사에 필요한 필수 의미정보를 수집하고 도출하여야 한다.
본 논문에서는 이와 같은 한계점을 해결하고 보다 효과적으로 수사에 적용하여 악성코드로 인한 피해를 최소화하고 유포자를 추적하기 위해 기술적인 악성코드 분석방법과 OSINT(Open-source intelligence)기법 등을 적용하여 악성코드에 대한 정보뿐만 아니라 악성코드를 통해 악성코드를 유포한 유포자에 대한 정보를 연관 분석할 수 있는 차세대 악성코드 정보수집 시스템을 제안한다. 제안하는 시스템의 아키텍처는 사이버 수사 업무프로세스에 기반을 두어 사이버 수사 각 단계에 따라 어떤 기술과 알고리즘을 활용하여 악성 정보를 수집할 것인지를 명확하게 함으로 차세대 사이버 수사의 방향성을 제안하고자 한다.

성능/효과

대표적인 이유는 전통적인 정적분석 방법의 경우 난독화되있는 코드를 정확하게 분석하기 힘들며, 동적 분석의 경우 악성코드가 잘 동작할 수 있도록 악성코드가 실행되는 환경을 구성해야 하는 어려움이 있다. 머신러닝을 이용한 방법의 하나로 악성코드를 실행시키지 않고 패밀리를 분류하는 방법으로 악성코드 파일을 8-bit gray-scale 이미지로 시각화하고 이미지 인식 분야에서 널리 쓰이고 있는 convolutional neural network를 통해 악성코드의 악성 특징을 기준으로 분류해내는 기법을 적용한 결과 9개의 악성코드 패밀리로 분류해 내는 실험을 통해 예측 정확도는 각각 96.2%, 98.7%를 기록하였고 27개의 패밀리를 분류하는 실험에서는 82.9%, 89% 악성코드 패밀리를 분류는 성과를 보였다[7] 또한, 악성코드 분류를 위해 CNN 알고리즘을 이용하여 바이너리 데이터를 이미지화하여 악성코드를 분석하는 연구가 진행되었다[8, 10].

후속연구

이러한 한계를 극복하기 위해 본 논문에서는 악성코드 자체의 정보와 OSINT 및 Intelligence를 연계 분석하여 사이버 수사관이 악성코드를 유포하는 범죄자를 찾아내기 위한 차세대 분석 플랫폼 아키텍처를 제안한다. 본 논문에서 제안한 아키텍처를 활용하면 단순한 악성코드 행위정보뿐만 아니라 이를 통해 악성코드 유포자를 특징 지을 수 있는 핵심적인 정보를 찾는 데 도움을 줄 수 있을 것으로 기대한다. 다만, 본 논문에서 제안한 아키텍처는 그 범위가 방대하여 구현을 통한 실험에는 한계가 있어 본 논문에서는 이론적인 부분에서 제안한 아키텍처의 효율성을 설명하였다.
다만, 본 논문에서 제안한 아키텍처는 그 범위가 방대하여 구현을 통한 실험에는 한계가 있어 본 논문에서는 이론적인 부분에서 제안한 아키텍처의 효율성을 설명하였다. 향후 제안한 시스템을 실제 구축하는 과정을 통해 미비점을 보완하고 제안하는 아키텍처가 차세대 사이버 수사 플랫폼으로 가치가 있음을 검증할 예정이다.

참고문헌 (25)

ENISA, "ENISA Thread Landscape Report 2018", Jun, 2019
Y.S.Kim, "Ensemble Model using Multiple Profiles for Analytical Classification of Threat Intelligence", JOURNAL OF THE KOREA CONTENTS ASSOCIATION, Vol.17, No.3, pp.231-237, 2017.03, 10.5392/JKCA.2017.17.03.231

원문보기 상세보기
Open Threat eXchange(OTX), https://otx.alienvault.com/
Malware Information Sharing Platform(MISP), https://www.misp-project.org/
Changwan Lim, Youngsup Shin, Dongjae Lee, Sungyoung Cho, Insung Han, Haengrok Oh "Real-time Cyber Threat Intelligent Analysis and Prediction Technique, KIISE Transactions on Computing Practices, Vol.25, No.11, pp.565-570, 2019.11,10.5626/KTCP.2019.25.11.565

상세보기
Choi Wonseok, Kim Jinsoo, "A System for Generating and Sharing Cyber Threat Intelligence on malicious code", Korea Software Congress 2018, pp.1035-1036, PeungChang, korea, Dec, 2018,
Seonhee Seok, Howon Kim, "Visualized Malware Classification Based-on Convolutional Neural Network", Journal of the Korea Institute of Information Security & Cryptology, Vol.26, No.1, pp. 197-208, Feb. 2016, 10.13089/JKIISC.2016.26.1.197

원문보기 상세보기
Taejin Lee "Trend of intelligent malicious code analysis technology using machine learning", REVIEW OF KIISC, Vol.28, No.2, pp.12-19, Apr, 2018
Jun-ho Hwang, Tae-jin Lee, "Study of Static Analysis and Ensemble-Based Linux Malware Classification", Journal of the Korea Institute of Information Security & Cryptology, Vol.29, No.6, pp.1327-1337, Dec. 2019,10.13089/JKIISC.2019.29.6.1327

원문보기 상세보기
Jun-ho Hwang, Tae-jin Lee, "Malware Packing Analysis Based on Convolutional Neural Network with 2-Dimension Static Feature Set", The Journal of Korean Institute of Communications and Information Sciences, Vol.43, No.12, pp.2089-2099, Dec. 2018, 10.7840/kics.2018.43.12.2089

상세보기
Seongmin Jeong, Hyeonseok Kim, Youngjae Kim, Myungkeun Yoon, "V-gram: Malware Detection Using Opcode Basic Blocks and Deep Learning", Journal of KIISE, Vol.46, No.7, pp.599-605, Jul, 2018, 10.5626/JOK.2019.46.7.599

상세보기
M. Sharif, A. Lanzi, J. Giffin, W. Lee, "Automatic Reverse Engineering of Malware Emulators". 2009 30th IEEE Symposium on Security and Privacy. pp. 94-109, May. 2009.
Soon-Gohn Kim, "Code Automatic Analysis Technique for Virtualization-based Obfuscation and Deobfuscation", Journal of Korea Institute of Information, Electronics, and Communication Technology, Vol.11, No.6, pp.724-731, Dec. 2018, 10.17661/JKIIECT.2018.11.6.724

원문보기 상세보기
Ki-Hwan Kim, Woo-Jin Joe, Hyong-Shik Kim, "A Malware Variants Detection Method using Malicious Behavior Signature", Korea Software Congress 2019, pp. 1633-1635, Dec. 2019
Jinung Ahn, Hongsun Yoon, Souhwan Jung, "An Enhancement Scheme of Dynamic Analysis for Evasive Android Malware", Journal of the Korea Institute of Information Security & Cryptology, Vol.29, No.3, pp.519-529, Jun, 2019, 10.13089/JKIISC.2019.29.3.519

원문보기 상세보기
Ollydbg, http://www.ollydbg.de/
IDA pro, https://www.hex-rays.com/products/ida/
Cuckoo Sandbox, https://cuckoosandbox.org/
IP2Location, https://www.ip2location.com/
MaxMind, https://www.ip2location.com/
GeoByte, https://geobytes.com/iplocator/
NetAcuity, https://www.digitalelement.com/solutions/
DomainTools, https://www.domaintools.com/
Virustotal, https://www.virustotal.com/gui/
C-TAS, https://www.krcert.or.kr/data/noticeView.do?bulletin_writing_sequence25824

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증