초록

용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

최근 PC를 비롯한 모바일, IOT 기기 등 다양한 환경에서의 사이버 공격이 기승을 부리고 있으며, 그 방법 또한 나날이 발전하고 있다. 이러한 사이버위협으로부터 개인 및 기업의 자산을 지키기 위한 근본적인 대안이 없이는 매번 반복적인 피해를 피하기 어려운 현실이다. 다양한 환경이라고 함은, 다양한 OS(Operation System), 다양한 ISA (Instruction Set Architecture)의 조합으로 이루어지는 사이버환경을 의미한다. 이러한 조합들은 일반 사용자들에게 가장 많이 쓰이는 Windows & Intel 조합의 환경과, Linux & Intel 또는 Linux & ARM 등 기업에서 서비스를 위해 쓰이는 서버 환경 등을 예로 들 수 있다. 그밖에 최근 IOT기기나 모바일 기기와 같은 환경도 있을 수 있다. 바이너리 파일에 대한 보안은 다양한 연구가 진행되고 있지만 그 범위가 방대하고, 깊이가 필요한 영역이라 진입 장벽이 높은 실정이다. 본 논문에서는 이러한 바이너리의 취약점을 분석하기 위한 첫 번째 단계로써 다양한 바이너리 파일을 하나의 정형화된 자료구조로 변환하는 바이너리 포맷 분석기의 한 방법을 제시하고자 한다. 다양한 OS와 다양한 ISA환경에서 사용되는 바이너리들에서 공통적으로 존재하는 정보들 중, 바이너리의 취약점 분석을 위해 필요한 데이터를 보다 효율적으로 수집하고, 관리하는 것이 바이너리를 통한 사이버 위협을 탐지하는 연구에서 기초가 된다고 할 수 있기 때문이다.

최근 PC를 비롯한 모바일, IOT 기기 등 다양한 환경에서의 사이버 공격이 기승을 부리고 있으며, 그 방법 또한 나날이 발전하고 있다. 이러한 사이버위협으로부터 개인 및 기업의 자산을 지키기 위한 근본적인 대안이 없이는 매번 반복적인 피해를 피하기 어려운 현실이다. 다양한 환경이라고 함은, 다양한 OS(Operation System), 다양한 ISA (Instruction Set Architecture)의 조합으로 이루어지는 사이버환경을 의미한다. 이러한 조합들은 일반 사용자들에게 가장 많이 쓰이는 Windows & Intel 조합의 환경과, Linux & Intel 또는 Linux & ARM 등 기업에서 서비스를 위해 쓰이는 서버 환경 등을 예로 들 수 있다. 그밖에 최근 IOT기기나 모바일 기기와 같은 환경도 있을 수 있다. 바이너리 파일에 대한 보안은 다양한 연구가 진행되고 있지만 그 범위가 방대하고, 깊이가 필요한 영역이라 진입 장벽이 높은 실정이다. 본 논문에서는 이러한 바이너리의 취약점을 분석하기 위한 첫 번째 단계로써 다양한 바이너리 파일을 하나의 정형화된 자료구조로 변환하는 바이너리 포맷 분석기의 한 방법을 제시하고자 한다. 다양한 OS와 다양한 ISA환경에서 사용되는 바이너리들에서 공통적으로 존재하는 정보들 중, 바이너리의 취약점 분석을 위해 필요한 데이터를 보다 효율적으로 수집하고, 관리하는 것이 바이너리를 통한 사이버 위협을 탐지하는 연구에서 기초가 된다고 할 수 있기 때문이다.

AI 본문요약

엑셀 다운로드 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

• 연구 주제
• 연구 방법
• 연구 결과

문제 정의

• 본 논문은 바이너리 취약점 분석을 보다 효율적으로 진행하기 위한 첫 번째 단계로써 다양한 환경에서 동작하는 바이너리를 하나의 통합된 환경과 자료구조로 1차 가공을 하는 것을 제안하고 있다. 바이너리 포맷 분석은 정확한 바이너리 파일을 분석하기 위한 시작점이다.
• 이번 장에서는 다양한 바이너리 포맷에서 바이너리 분석을 위해 필요한 정보들을 효율적으로 수집하고, 관리하는 방법에 대해 제안하고자 한다. 대상은 Intel, ARM, MIPS 3개의 ISA와 ELF, PE, MACH-O 3개의 OS별 파일 포맷 중 Intel, ARM과 ELF, PE, MACH-O의 조합으로 한다.

제안 방법

• Symbol의 경우 Static Symbol의 정보와 Dynamic Symbol의 정보가 다른 툴과 일치하는지 검증 하였다. 이 테스트 또한 대상 바이너리는 위의 표1에서와 동일한 바이너리들을 대상으로 진행하였으며, 실험 결과는 정상적으로 확인 되었다.
• 각각의 다른 입력 바이너리 파일의 종류를 구분한 후, 하나의 통합된 FileInfo 자료 구조로 변환을 하고, 해당 자료 구조를 활용하여 역공학을 진행하는 순서로 진행된다.
• 본 논문에서 제안한 분석기를 검증하기 위해서 기존에 각각의 환경에서 제공되는 분석 툴들과 비교 검증을 진행하였다. 단순 바이너리 정보 추출 테스트와 실제 리버싱 테스트를 진행하였다. 바이너리 정보 추출 테스트에서의 검증은 ELF의 readelf, PE의 dumpbin, Mach-O의 경우 otool을 비교대상 툴로 선정하였다.
• 리버싱 테스트의 경우 IDA Pro, ObjDump의 결과와 본 논문에서 구현한 바이너리 포맷 분석기를 활용하여 별도로 진행 중인 역공학 연구 프로젝트의 리버싱 툴을 비교 검증하였다. 비교 대상은 instruction 별 Address 정보와 Symbol정보가 정확히 리프팅 되는지 태스트를 진행하였다.
• 리버싱 테스트의 경우 IDA Pro, ObjDump의 결과와 본 논문에서 구현한 바이너리 포맷 분석기를 활용하여 별도로 진행 중인 역공학 연구 프로젝트의 리버싱 툴을 비교 검증하였다. 비교 대상은 instruction 별 Address 정보와 Symbol정보가 정확히 리프팅 되는지 태스트를 진행하였다. 특히 Section별 Address의 매칭정보와 instrction 의 해석이 맞는지 체크하였다.

대상 데이터

• 이번 장에서는 다양한 바이너리 포맷에서 바이너리 분석을 위해 필요한 정보들을 효율적으로 수집하고, 관리하는 방법에 대해 제안하고자 한다. 대상은 Intel, ARM, MIPS 3개의 ISA와 ELF, PE, MACH-O 3개의 OS별 파일 포맷 중 Intel, ARM과 ELF, PE, MACH-O의 조합으로 한다.
• 단순 바이너리 정보 추출 테스트와 실제 리버싱 테스트를 진행하였다. 바이너리 정보 추출 테스트에서의 검증은 ELF의 readelf, PE의 dumpbin, Mach-O의 경우 otool을 비교대상 툴로 선정하였다. 바이너리 정보 추출관련 비교 항목은 3.
• 바이너리 정보 추출 테스트에서의 검증은 ELF의 readelf, PE의 dumpbin, Mach-O의 경우 otool을 비교대상 툴로 선정하였다. 바이너리 정보 추출관련 비교 항목은 3.2절에 언급된 주요 데이터들을 그 대상으로 한다. 검증에 활용된 바이너리의 수가 다소 부족한 면이 있으나 이는 추후 계속해서 추가 검증을 통해 비교하고, 수정 보완해 나갈 예정이다.
• 본 논문에서는 다양한 OS 다양한 바이너리 파일 포맷 중 Linux, Windows, MacOS에서 기본 실행파일인 ELF, PE, MACH-O을 분석 대상 바이너리로 선정하였다.
• Symbol의 경우 Static Symbol의 정보와 Dynamic Symbol의 정보가 다른 툴과 일치하는지 검증 하였다. 이 테스트 또한 대상 바이너리는 위의 표1에서와 동일한 바이너리들을 대상으로 진행하였으며, 실험 결과는 정상적으로 확인 되었다.

데이터처리

• 본 논문에서 제안한 분석기를 검증하기 위해서 기존에 각각의 환경에서 제공되는 분석 툴들과 비교 검증을 진행하였다. 단순 바이너리 정보 추출 테스트와 실제 리버싱 테스트를 진행하였다.

후속연구

• 2절에 언급된 주요 데이터들을 그 대상으로 한다. 검증에 활용된 바이너리의 수가 다소 부족한 면이 있으나 이는 추후 계속해서 추가 검증을 통해 비교하고, 수정 보완해 나갈 예정이다.
• 분석 대상 바이너리로부터 다양한 바이너리 취약점 분석 기법 방법들에서 활용 할 수 있는 정확한 데이터를 추출하는 것이 중요하다, 특히 각 Section, Symbol들의 정확한 해석과 NXbit, ASLR과 같은 메모리 보호기능의 설정 상태 등 각각의 환경에 맞는 데이터를 추출해야 리버싱을 제대로 진행할 수 있다. 본 논문에 제시된 ELF 바이너리를 비롯하여 PE, MACH-O 바이너리의 통합 포맷분석기를 활용하여 바이너리 취약점 분석연구에 활용 하고 있으며, 지속적으로 수정보완을 진행 할 예정이다.

본문요약 정보가 도움이 되었나요? 예 아니오 제출

질의응답

핵심어	질문	논문에서 추출한 답변
ELF	ELF란 무엇인가?	ELF(Executable and Linkable Format)는 실행 파일, 목적 파일, 공유 라이브러리 그리고 코어 덤프를 위한 표준 파일 형식이다. 1999년 86open 프로젝트에 의해 X86 기반 유닉스, 유닉스 계열 시스템의 표준 바이너리 파일 형식으로 선택 되었다.
API	수집된 각각의 바이너리 데이터들을 분석과정에서 효율적으로 활용할 수 있도록 다양한 API를 제공해야 하는데, 그 이유는 무엇인가?	수집된 각각의 바이너리 데이터들을 분석과정에서 효율적으로 활용할 수 있도록 다양한 API를 제공해야한다. 기본적으로 필요한 Entry Point, WordSize와 그 자체로 의미가 있는 데이터들도 있는 반면, Section Range, Symbol Range와 같이 각각의 상호관계를 분석 및 가공해야 얻을 수 있는 데이터들이 존재하기 때문이다. 또한 ARM ISA에서 쓰이는 mapping Symbol과 같이 일부 데이터는 특정 환경 및 특정 파일포맷에서만 필요한 경우도 있다.
바이너리를 통한 사이버위협의 방어 수단	현재 사용되는 바이너리를 통한 사이버위협의 방어 수단에는 어떤 것들이 있는가?	현재는 소스코드 분석을 통한 취약점 탐지, 바이너리 기반의 패턴매칭을 이용한 정적 분석기법이 있고, 실제 바이너리 파일을 실행시켜서 취약점을 찾는 퍼징 기법 등의 동적 분석 방법 등이 바이너리를 통한 사이버위협의 방어 수단으로 널리 사용되고 있는 상태이다.

질의응답 정보가 도움이 되었나요? 예 아니오 제출

이 논문을 인용한 문헌

더보기

연구과제 타임라인

글로벌사이버보안기술연구(사이버보안연구센터)

LOADING...

전체(0) 논문(0) 특허(0) 보고서(0)

더보기

LOADING...

전체(0) 논문(0) 특허(0) 보고서(0)

더보기

LOADING...

LOADING...

LOADING...