초록 ▼

□ 연구개발 목표 및 내용
○ 최종 목표
자동 트리거 탐지 및 바이너리 코드 변환을 통한 악성코드 분석 시스템

○ 전체 내용
악성코드로 의심되는 프로그램을 처음부터 수작업으로 분석한다는 것은 사실상 불가능에 가깝기 때문에 대량의 악성코드 샘플을 자동으로 분석하는 시스템들이 개발되고 연구되고 있지만, 악성코드 제작자들 또한 시중에서 사용되는 안티바이러스나 방어기법을 분석하고 우회하는 방법들을 연구하기 때문에 악성코드의 실제 악성 행위를 파악하기 힘들다. 본 연구에서는 정적, 동적 분석 방법을 혼용하는 하이

□ 연구개발 목표 및 내용
○ 최종 목표
자동 트리거 탐지 및 바이너리 코드 변환을 통한 악성코드 분석 시스템

○ 전체 내용
악성코드로 의심되는 프로그램을 처음부터 수작업으로 분석한다는 것은 사실상 불가능에 가깝기 때문에 대량의 악성코드 샘플을 자동으로 분석하는 시스템들이 개발되고 연구되고 있지만, 악성코드 제작자들 또한 시중에서 사용되는 안티바이러스나 방어기법을 분석하고 우회하는 방법들을 연구하기 때문에 악성코드의 실제 악성 행위를 파악하기 힘들다. 본 연구에서는 정적, 동적 분석 방법을 혼용하는 하이브리드 형식의 분석 방법을 이용하여 동적 분석을 회피하는 악성 코드를 찾아내고 어떤 조건에 의해 악성 행위가 실행되는지, 해당 조건을 만족하기 위해서 어떤 것이 필요한지를 추적하고 기존의 동적 분석에서 실행되지 않은 악성 행위가 실행되어 분석할 수 있도록 하는 시스템을 연구 개발한다.

○ 1단계
● 목표
자동 트리거 탐지 및 바이너리 코드 변환을 통한 악성코드 분석 시스템
● 내용
1. 악성코드에 적용된 동적 분석을 방해하는 요인에 대하여 파악하고 분석에 실패한 경우에 대한 내용 들을 확인.
2. 다양한 악성코드 분석을 통해 행위기반이나 트리거에 따른 분류 기준 정립.
3. 정리된 트리거 분류 기준을 통한 트리거 탐지 기능 개발.
4. Cuckoo Sandbox 및 LLVM, MCSEMA 도구를 사용한 바이너리 분석 및 변경.
5. 개발된 동적 분석 시스템과 정적 분석 시스템을 통합하여 하이브리드 정적동적 분석기를 개발.

□ 연구개발성과
연구를 통해 트리거를 지닌 악성코드를 분석할 수 있는 방법을 제시하였고, 기존에 분석하기 힘든요인들을 개선하여 분석 자동화 시스템을 구축했다. 실제 악성코드를 분석해본 결과 다양한 분석 환경을 제공하고 다양한 데이터를 얻고 가공할 수 있었다. 기존 분석 시스템의 문제를 개선을 통해 다양한 악성코드들을 효율적으로 분석하고 자원을 아낄 수 있다.

□ 연구개발성과 활용계획 및 기대 효과
연구에서는 악성코드가 가진 트리거를 분석하고, 트리거를 제거해 동적 분석이 가능한 형태로 변경하는 등의 기술 연구에 핵심이 맞춰져 있고, 이를 실행하기 위한 시스템을 구축하였다. 기술적인 부분에서 트리거를 분석하기 위해 LLVM을 통해 바이너리를 코드레벨로 분석하였는데, 트리거 이외에도 악성코드의 패밀리 분류 및 특징 들을 분석하는 등 다양한 주제로도 시스템을 개선하여 활용가능하다.

(출처 : 요약문 2p)

목차 Contents

• 표지 ... 1
• 요약문 ... 2
• 목차 ... 3
• 1. 연구개발과제의 개요 ... 4
• 가. 연구개발의 중요성 및 필요성 ... 4
• 나. 연구개발의 목표 ... 4
• 다. 연구개발 범위 ... 5
• 2. 연구개발과제의 수행 과정 및 수행 내용 ... 6
• 가. 악성코드의 분석 실패 원인 및 분석 회피 기법 연구(1차 년도) ... 6
• 나. 악성코드 내부의 트리거 자동 탐지 및 분석을 위한 방법 연구(2차 년도) ... 7
• 다. 정적 분석, 동적 분석을 결합한 분석 시스템 개발(최종) ... 9
• 3. 연구개발과제의 수행 결과 및 목표 달성 정도 ... 13
• 가. 연구개발과제 수행 결과 ... 13
• 나. 연구개발과제 목표 달성 수준 ... 16
• 4. 연구개발성과의 관련 분야에 대한 기여 정도 ... 17
• 5. 연구개발성과의 관리 및 활용 계획 ... 18
• 6. 참고문헌 ... 18
• 끝페이지 ... 19