DOI QR코드

DOI QR Code

Detection of Anti-VM Malware through API and Parameter Analysis

API 및 파라미터 분석을 통한 Anti-VM 악성코드 탐지

  • Su-Young Lee (Dept. of Software Security, Korea University) ;
  • Heon-Chang Yu (Dept. of Computer Science and Engineering, Korea University)
  • 이수영 (고려대학교 SW.AI 융합대학원 소프트웨어보안학과) ;
  • 유헌창 (고려대학교 컴퓨터학과)
  • Published : 2024.10.31

Abstract

악성코드에 의한 공격은 연평균 수억 건 이상 발생하고 있으며, 큰 폭으로 증가하는 악성코드 개수에 비해 악성코드 분석가가 각 악성코드를 분석하고 대응하기에는 한계가 있다. 이와 같은 한계를 극복하기 위한 방법으로 악성코드 자동 분석 시스템을 사용하는 방법이 있다. 그러나 악성코드에 Anti-VM 기술들이 포함된 경우 자동 분석 시스템에서는 제대로 탐지하기 어렵다는 단점이 있다. 본 논문에서 Anti-VM 기술에 활용되는 API 와 API 의 파라미터 정보를 분석하여 API 후킹 모듈을 기반으로 Anti-VM 탐지 우회 방법을 제안한다. Anti-VM 기술은 Virtual Box 기반의 가상 환경을 탐지하는 기술을 기준으로 연구를 진행하였고 API 및 파라미터 또한 Virtual Box 기반의 가상 환경을 탐지할 때 활용되는 API 및 파라미터를 분석하였다. 분석한 데이터를 기반으로 Anti-VM 기술을 우회하기 위한 API 및 후킹 프로그램을 제작해서 연구를 진행하였다. 연구 결과 Virtual Box 기반의 가상 환경을 탐지하는 기술 중 시간 딜레이, 마우스 이벤트 등의 행위 기반 탐지 기술은 명확한 지표를 측정하기 어려워 우회가 어려웠으나 가상 환경 특성 탐지, 파일 아티팩트 탐지, 레지스트리 및 시스템 설정 탐지 기술은 식별 및 우회에 뛰어난 성능을 보였다.

Keywords

References

  1. "Total Amount Of Malware And PUA", 19 September 2024. [Online]. Available: https://portal.av-atlas.org/malware. [Accessed 19 September 2024].
  2. Grace Friscilla Margaretha Karo-Karo, Muhammad Sofyan Arif Harumnanda, Charles Lim, "Investigating Multiple Malware as a Service(MaaS): Analysis and Prevention Techniques", IEEE International Conference on Cryptography, Informatics, and Cybersecurity (ICoCICs), 2023, pp. 270
  3. Dong-Yeob Kim, Sang-Yong Choi, Malware Detection Technology Based on API Call Time Section Characteristics, Korea Institute of Information Security and Cryptology(KIISC), Busan Korea, 2022