[논문]악성 크립토재킹 대응을 위한 탐지 환경별 동향 분석 및 클라우드 환경에서의 탐지 프레임워크 제안

유지원; 강서연; 이수미; 김성민

doi:10.33778/kcsa.2024.24.2.019

[국내논문] 악성 크립토재킹 대응을 위한 탐지 환경별 동향 분석 및 클라우드 환경에서의 탐지 프레임워크 제안
Analysis of Trends in Detection Environments and Proposal of Detection Frame work for Malicious Cryptojacking in Cloud Environments

융합보안논문지 = Convergence security journal, v.24 no.2, 2024년, pp.19 - 29

유지원 (성신여자대학교) , 강서연 (성신여자대학교) , 이수미 (성신여자대학교) , 김성민 (성신여자대학교)

초록
AI-Helper

크립토재킹 공격은 암호 화폐 채굴에 필요한 컴퓨팅 자원을 탈취하여 사용자의 가용성을 침해하는 공격이다. 공격의 대상은 일반적인 데스크톱이나 서버 환경에서부터 클라우드 환경까지 점차 다변화되고 있다. 따라서 다양한 컴퓨팅 환경에 적합한 크립토 마이너 탐지 기법의 적용이 필수적이다. 하지만 기존의 탐지 방법론들은 특정 환경에서만 탐지가 시행되었기 때문에 환경별로 적용할 수 있는 방법론에 대해서 비교분석이 제대로 수행되지 않았다. 따라서 본 연구에서는 종래의 크립토 마이너 탐지 기법들에 대한 분류 기준을 수립하고, 각자 다른 실험 환경과 데이터 셋을 기반으로 한 기존의 크립토 마이너 탐지 기법에 대한 심층적인 비교분석을 통해 클라우드 환경에서 적용 가능한 복합적이고 통합적인 탐지 프레임워크를 제시한다.

Abstract ▼ AI-Helper

A crypto-jacking attack is an attack that infringes on the availability of users by stealing computing resources required for cryptocurrency mining. The target of the attack is gradually diversifying from general desktop or server environments to cloud environments. Therefore, it is essential to apply a crypto-minor detection technique suitable for various computing environments. However, since the existing detection methodologies have only been detected in a specific environment, comparative analysis has not been properly performed on the methodologies that can be applied to each environment. Therefore, in this study, classification criteria for conventional crypto-minor detection techniques are established, and a complex and integrated detection framework applicable to the cloud environment is presented through in-depth comparative analysis of existing crypto-minor detection techniques based on different experimental environments and datasets.

Keyword

표/그림 (12)

표 <Table 1> System-based detection
표 <Table 2> Network-level blacklist-based detection
표 <Table 3> System log-based detection
그림 (Figure 1) Diagram of Container-Based Environment
표 <Table 4> Detection Based on Container Layer
그림 (Figure 2) Diagram of Virtual Machine-Based Environment
그림 (Figure 3) Diagram of Server/Desktop Host Environment-Based Configuration
표 <Table 5> Detection Based on Virtual Machine Layer
그림 (Figure 5) Malicious Docker File-Based Crypto Jacking Mechanism
표 <Table 6> Detection Based on Network and Hardware Layer
그림 (Figure 4) Comprehensive analysis methodology
표 <Table 7> Summary Table

AI 본문요약
AI-Helper

문제 정의

따라서, 본 연구에서는 각자 다른 실험 환경과 데이터 셋을 기반으로 한 기존의 크립토 마이너 탐지 기법에 대한 심층적인 비교 분석을 통해, 다변화된 컴퓨팅 환경에 따른 분류 체계를 제안하고, 적절한 방법론의 통합 및 복합적 사용에 대해서 논의하며, 각 환경에 가장 적합한 크립토재킹 탐지 방법론 수립에 기여하고자 한다.
다만, 최근에 널리 사용되고 있는 클라우드 환경에서 시행되는 크립토마이닝에 대한 분석은 이루어지지 않았고, 환경별 공격기법에 대한 차이점 및 발생 메트릭의 차이점은 분석되지 않았다. 본 논문에서는 각 환경 별 차이점을 고려하여 크립토 재킹 공격에 대한 분석을 시행하고, 통합적이고 복합적인 방법론 사용에 대해서 논의하고자 한다.
[14] 따라서 단독으로 사용하기보다는 다른 방법론과 함께 부수적인 탐지 판단 기준으로 사용하는 것이 이러한 단점을 보완할 수 있다. 본고에서는 이를 적용하여 클라우드 환경에서 적용할 수 있는, 정적분석 및 동적 분석 기법을 함께 사용하는 프레임워크를 제안하였다.
추후 연구과제로서는, 클라우드 네이티브 환경에서 필수적으로 사용하는 컨테이너에서 호스트 운영체제를 공유함으로서 발생할 수 있는 격리 및 보안상의 이슈에 대해서 살펴보고, 악성 마이너에 대한 확실한 탐지 근거를 바탕으로 크립토재킹 행위의 직접적인 원인이 되는 가상머신 또는 컨테이너 인스턴스를 식별하는 프레임워크를 구상한다. 또한 실제 실험을 통해 제안한 프레임워크의 탐지 정확도를 높이고 탐지 과정 및 결과의 가시성을 향상시키는 것을 목표로 한다.

제안 방법

본 장에서는 악성 크립토 마이너 탐지를 위한 기존의 탐지 방법론을 종합적으로 살펴봄과 동시에 마이너 탐지 근거를 기준으로 시스템 자원 사용량 기반탐지, 네트워크 레벨 블랙리스트 기반 탐지, 시스템 로그 추출 기반 탐지 기법으로 세분화하여 각 방법론의 요구사항 및 장단점을 비교 분석한다. 선행연구를 통해 알려진 악성 크립토재킹 탐지를 위해 활용할 수 있는 시스템 로그 및 이벤트, 네트워크 레벨 정보 등의 원시 데이터 및 메트릭을 식별하고, 각 탐지 근거를 활용했을 시의 실효성에 대해서 고찰한다.
본 장에서는 악성 크립토 마이너 탐지를 위한 기존의 탐지 방법론을 종합적으로 살펴봄과 동시에 마이너 탐지 근거를 기준으로 시스템 자원 사용량 기반탐지, 네트워크 레벨 블랙리스트 기반 탐지, 시스템 로그 추출 기반 탐지 기법으로 세분화하여 각 방법론의 요구사항 및 장단점을 비교 분석한다. 선행연구를 통해 알려진 악성 크립토재킹 탐지를 위해 활용할 수 있는 시스템 로그 및 이벤트, 네트워크 레벨 정보 등의 원시 데이터 및 메트릭을 식별하고, 각 탐지 근거를 활용했을 시의 실효성에 대해서 고찰한다.
이와 같은 다양한 채굴 환경으로 인해, 각 환경에 적합한 마이너 탐지 방법론을 적용해야 한다. 따라서 본 장에서는 크립토 마이너 탐지가 필요한 잠재적 공격 대상 환경을 3가지 형태로 분류하고, 환경별로 어떠한 특성과 고려 사항이 존재하는지 탐지 근거를 마이닝 시행 환경 관점에서 분석하고자 한다.
가상화 시스템 및 클라우드 시스템의 발전과 함께 크립토재킹을 이용한 암호 화폐 탈취 공격양상도 일반 데스크탑 환경에서 클라우드와 같은 대용량 컴퓨팅 자원을 사용하는 환경으로 변화하였다. 이로 인해 컨테이너와 같이 호스트 OS를 공유하는 가상화 환경이나 독립적으로 운영되는 가상 머신을 이용하는 경우 등 공격이 발생할 수 있는 상황과 환경도 다양해졌다.
이러한 환경별로 적용 가능한 크립토 마이너 탐지기법에 대한 연구가 필요한 시점이다. 따라서 본 연구에서는 기존의 크립토마이닝 탐지 연구에서 제시된 방법론에 대해 복합적으로 살펴보고, 탐지근거에 따른 분류 기준을 시스템 자원 사용량 기반 탐지, 네트워크레벨 블랙 리스트 기반탐지, 시스템 로그 추출 기반 탐지로 식별하고, 각 근거에 따른 탐지 메트릭을 확인하였다.
탐지 환경에 따른 분류기준의 경우, 컨테이너기반 클라우드 네이티브 환경, 가상머신 기반 클라우드 인프라 환경, 일반적인 서버/데스크톱 환경 총 3가지 환경으로 나누어 각 환경별 탐지 근거가 수집되는 레이어를 분류 및 분석하였다. 또한 각 레이어별로 크립토 마이너 탐지 기법을 적용하였을 때의 장점, 단점에 대해서 분석하였다.
탐지 환경에 따른 분류기준의 경우, 컨테이너기반 클라우드 네이티브 환경, 가상머신 기반 클라우드 인프라 환경, 일반적인 서버/데스크톱 환경 총 3가지 환경으로 나누어 각 환경별 탐지 근거가 수집되는 레이어를 분류 및 분석하였다. 또한 각 레이어별로 크립토 마이너 탐지 기법을 적용하였을 때의 장점, 단점에 대해서 분석하였다. 이와 같은 종합적인 비교분석을 바탕으로 클라우드 환경에서 적용 가능한 크립토 마이너 악성코드에 대한 정적분석 기법과 동적 분석 기법을 통합적으로 사용하는 프레임워크를 제시하였다.
또한 각 레이어별로 크립토 마이너 탐지 기법을 적용하였을 때의 장점, 단점에 대해서 분석하였다. 이와 같은 종합적인 비교분석을 바탕으로 클라우드 환경에서 적용 가능한 크립토 마이너 악성코드에 대한 정적분석 기법과 동적 분석 기법을 통합적으로 사용하는 프레임워크를 제시하였다.

성능/효과

3장과 4장에서는, 각 방법론을 탐지 근거와 탐지 환경에 따라서 분류하였으며 이를 통해, 각 방법론에서 사용된 크립토 마이너 탐지 기법에서 수집한 요소들을 통합하고, 구별되는 특징들을 나열하여 각 요소 및 환경에서 주안점을 두고 살펴보아야 하는 것에 관하여 서술하였다. 마지막으로, 범용 데스크톱 또는 서버 환경부터 가상 머신 기반 인스턴스, 컨테이너를 대상으로 탐지 환경별 모니터링 가능한 정보를 구분하고 분류화하여 정적 분석 및 동적 분석 방법론을 통합한 클라우드 환경에서의 복합적인 방법론 사용 프레임워크를 제시하였다.
exe”이다. 초기에 개발된 크립토재킹 악성코드는 사용자의 CPU 자원을 완전히 독점적으로 활용한다는 특징을 가졌으며 이에 따라 사용자는 비교적 쉽게 감염 여부를 확인할 수 있었다. 그러나 공격자들은 이를 개선하여 사용자가 쉽게 알아채지 못하도록 CPU 자원 사용률이나, 실행 시간을 유동적으로 조절하는 경우가 빈번해졌다.
다만, 최근에 널리 사용되고 있는 클라우드 환경에서 시행되는 크립토마이닝에 대한 분석은 이루어지지 않았고, 환경별 공격기법에 대한 차이점 및 발생 메트릭의 차이점은 분석되지 않았다. 본 논문에서는 각 환경 별 차이점을 고려하여 크립토 재킹 공격에 대한 분석을 시행하고, 통합적이고 복합적인 방법론 사용에 대해서 논의하고자 한다.
앞선 두 방법론을 종합해 보았을 때, cpu 및 소켓 통신 관련 함수들이 다른 프로세스에 비해서 자주 호출 되는 경우 마이닝 행위를 의심할 수 있다.
한편, 분석 대상의 소스 코드를 중심으로 코드 스크립트 속 취약점을 미리 탐지하거나 및 배포 환경 관련 설정을 프로파일링 하여 크립토 마이닝 여부를 탐지하는 방식인, 정적 분석 방법론을 이용하면 컨테이너 생성 이전 이미지에 대한 도커파일이나 악성 API 코드에 대한 블랙리스트 기반 보안 감사를 수행할 수 있다.
후술할 가상 머신 기반의 환경과 달리 컨테이너 기반의 네이티브 환경은 Repository를 통해 사용자가 도커 이미지 파일을 확인하고 악성 이미지 여부를 미리 탐지할 수 있다. 따라서 정적 분석 방법론을 적용하여 악성 이미지 생성 이전에 마이너 탐지가 가능하다.
후술할 가상 머신 기반의 환경과 달리 컨테이너 기반의 네이티브 환경은 Repository를 통해 사용자가 도커 이미지 파일을 확인하고 악성 이미지 여부를 미리 탐지할 수 있다. 따라서 정적 분석 방법론을 적용하여 악성 이미지 생성 이전에 마이너 탐지가 가능하다.
이처럼, 제안된 탐지 방법론은 정적 분석 방법론과 동적 분석 방법론을 적절히 섞어 기존의 공격과 함께, 알려지지 않은 공격 또한 대비할 수 있다는 장점이 있다. 다만, 단순히 CPU 사용률이 높다고 해서 해당 프로그램이 마이닝과 관련이 있는지 여부가 불확실하고, 오탐의 가능성이 높기 때문에, 논문에서 제시한 것과 같이 오탐을 줄이기 위한 정적 분석 방법 및 동적 분석 방법론을 적절히 혼합하여 사용해야 한다.

후속연구

앞서 언급한 방법론에서 살펴본 탐지 요소는 <Table 3>와 같다. 다만, 이렇게 VM이나 컨테이너 환경에서 수집되는 마이너 정보들의 경우 컨테이너의 개수 또는 VM의 노드 개수가 늘어나고 규모가 확장됨에 따라서 가시적으로 정보를 확인하기 어려운 경우가 많으며, 각기 다른 역할을 하는 컨테이너들이 늘어나고 세분화되면서, 위와 같은 함수호출 빈도수에 따라 마이너를 구분하기는 현실적으로 어렵다는 한계점이 있다. 또한 이러한 System call 이나 API Sequence 들이 수집되는 위치에 따라서 여러 부가 정보가 추가로 수집되기 때문에 각 정보가 노이즈가 되어 마이너 탐지 정확도를 저하시키는 경우가 많다.
이로 인해 컨테이너와 같이 호스트 OS를 공유하는 가상화 환경이나 독립적으로 운영되는 가상 머신을 이용하는 경우 등 공격이 발생할 수 있는 상황과 환경도 다양해졌다. 이러한 환경별로 적용 가능한 크립토 마이너 탐지기법에 대한 연구가 필요한 시점이다. 따라서 본 연구에서는 기존의 크립토마이닝 탐지 연구에서 제시된 방법론에 대해 복합적으로 살펴보고, 탐지근거에 따른 분류 기준을 시스템 자원 사용량 기반 탐지, 네트워크레벨 블랙 리스트 기반탐지, 시스템 로그 추출 기반 탐지로 식별하고, 각 근거에 따른 탐지 메트릭을 확인하였다.
추후 연구과제로서는, 클라우드 네이티브 환경에서 필수적으로 사용하는 컨테이너에서 호스트 운영체제를 공유함으로서 발생할 수 있는 격리 및 보안상의 이슈에 대해서 살펴보고, 악성 마이너에 대한 확실한 탐지 근거를 바탕으로 크립토재킹 행위의 직접적인 원인이 되는 가상머신 또는 컨테이너 인스턴스를 식별하는 프레임워크를 구상한다. 또한 실제 실험을 통해 제안한 프레임워크의 탐지 정확도를 높이고 탐지 과정 및 결과의 가시성을 향상시키는 것을 목표로 한다.

참고문헌 (14)

Microsoft. (2023). Microsoft Threat Intelligence.？https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence.
Son, J (2018, February 25) . (2018, Fe 12). "'Malicious Cryptojacking'... Trials of Hacking with the Rise in Digital Currency Values." Maeil Business Newspaper, Retrieved from: https://www.mk.co.kr/news/it/8206706.
Kim, K. (2022, November 15). "Astron Security:？'Cryptojacking Tops the List of Cyber Attacks？Targeting Clouds... Cryptocurrency Mining'." Boan News. Retrieved from https://www.boannews.com/media/view.asp?idx111330.
Karn, Rupesh Raj, Kudva, Prabhakar, Huang, Hai, Suneja, Sahil, & Elfadel, Ibrahim (Abe) M.？(2021, March). "Cryptomining Detection in Container Clouds Using System Calls and Explainable Machine Learning." IEEE Transactions on Parallel and Distributed Systems, 32(3).

상세보기
IGLOO. (2020, May 6). The Ever-Present Threat: Cryptojacking. Retrieved from: https://www.igloo.co.kr/security-information/%EC%82%AC%EB%9D%BC%EC%A7%80%EC%A7%80-%EC%95%8A%EC%9D%80-%EC%9C%84%ED%98%91-%ED%81%AC%EB%A6%BD%ED%86%A0%EC%9E%AC%ED%82%B9/.
Goh, D., Jung, I., Choi, S. H., & Choi, Y. H. (2018). Dynamic Analysis Framework for Cryptojacking Site Detection. Journal of the Korea Institute of Information Security and Cryptology, 28(4), 963-974.
Choi, W.-S., Kim, H.-S., & Lee, D.-H. (2018).？Trends in Cryptojacking Research. Journal of Information Security, 28(3). 33-36.
Kim, I., Yoo, S., & Nam, J. (2023). Workload Analysis of CryptoJacking Containers. In Proceedings of the 2023 Korean Computer Conference,？pp.1,911-1,913.
Lim, E. J., Lee, E. Y., & Lee, I. G. (2021). Behavior and Script Similarity-Based Cryptojacking？Detection Framework Using Machine Learning.？Journal of the Korea Institute of Information Security and Cryptology, 31(6), 1105-1114.
Song, J. H., Park, K. M., Park, C. H., Kim, J.？H., & Kim, I. K. (2023). Performance Analysis？of Cryptojacking Container Detection with Machine Learning. Proceedings of the Korea Information Science Society Conference, 1294-1296.
J. Burgess, D. Carlin, P. O'Kane, and S. Sezer, "MANiC: Multi-step Assessment for Crypto-miners," 2019 International Conference on Cyber Security and Protection of Digital Services (Cyber Security), Oxford, UK, 2019, pp. 1-8, doi:10.1109/CyberSecPODS.2019.888503.
Saide, M., Sarmento, E. L. A., & Ali, F. D. M.？A. (2022). Cryptojacking Malware Detection in Docker Images Using Supervised Machine Learning. In？Proceedings of the 2022 International Conference on Intelligent and Innovative Computing Applications. https://doi.org/10.59200/ICONIC.2022.006
Tahir, R., Huzaifa, M., Das, A., Ahmad, M., Gunter, C., Zaffar, F., Caesar, M., & Borisov, N. (2017). "Mining on Someone Else's Dime: Mitigating？Covert Mining Operations in Clouds and Enterprises." In Proceedings of the International Symposium on Research in Attacks, Intrusions, and Defenses？(RAID), Lecture Notes in Computer Science.
S. Sultan, I. Ahmad and T. Dimitriou, "Container Security: Issues, Challenges, and the Road Ahead," inIEEE Access, vol. 7, pp. 52976-52996, 2019, doi: 10.1109/ACCESS.2019.2911732

상세보기

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증