An Anti-Trojan Horse Mechanism with Attached Data from Developers

개발자 첨부 자료에 의한 트로이 목마 대응 기법

  • 조은선 (충북대학교 전기전자컴퓨터공학부) ;
  • 예홍진 (아주대학교 정보통신전문대학교) ;
  • 오세창 (아주대학교 정보통신전문대학교) ;
  • 홍선호 (아주대학교 정보통신전문대학교) ;
  • 홍만표 (아주대학교 정보통신전문대학교)
  • Published : 2002.04.01

Abstract

Trojan-horse programs are the programs that disguise normal and useful programs but do malicious thing to the hosts. This paper proposes an anti-Trojan horse mechanism using the information attached to the code by the developers. In this mechanism, each code is accompanied with the information on their possible accesses to resources, and based on this information users determine whether the code is malicious or not. Even in the case a code is accepted by users due to its non-malicious appearance, its runtime behaviors are monitored and halted whenever any attempts to malicious operations are detected. By hiring such runtime monitoring system, this mechanism enables detecting unknown Trojan horses and reduces the decision-making overhead being compared to the previous monitoring-based approaches. We describe the mechanism in a formal way to show the advantages and the limitations of the security this mechanism provides.

'트로이 목마 프로그램 (Trojan-horse program)'이란 겉으로는 유용한 일을 하는 것처럼 보이지만 사용자 모르게 악성 행위를 하는 프로그램을 의미한다. 본 논문에서는 개발자의 첨부 자료에 의거하여 트로이 목마 프로그램을 감지할 수 있는 방법을 제안한다. 이 방법에서 코드는 개발자에 의해 자원 접근 정보를 가지는 첨부자료와 함께 배포되며 사용자는 첨부 자료를 통해 코드의 악성 여부를 1차 판단한다. 이 때 정상 코드로 판명되어 수행이 허가된 코드는 수행 중에 감시 시스템에 의해 자신의 첨부자료에 위배되지 않는 다는 것을 2차로 감시 받게 된다. 이로써 알려지지 않는다는 트로이 목마 프로그램의 감지가 가능함과 동시에 기존 감시 시스템 기법들에 비해 사용자 측의 정책 설정 및 판단 부담을 줄여주는 특징을 가진다. 본 논문에서는 제안된 방식을 형식 언어로 기술하고 그 안전성도 함께 보인다.

Keywords

References

  1. Symantec antiVirus for Macintosh-knowledge-base-About Trojan Horses, http://servicel.symantec.com/SUPPORT/num.nsf/d514450ab7fffddf852565a600636fb9/900ea4166e937d52852565a60063a176?OpenDocument
  2. Virus Protection, http://helpdesk.uvic.ca/how-to/support/virus.html#winfeatures
  3. R.W. Lo, K.N. Levitt, R.A. Olsson, 'MCF: a Malicious Code Filter,' Computers & Security, 1995, Vol.14, No.6, pp. 541-566 https://doi.org/10.1016/0167-4048(95)00012-W
  4. Trojan Port List, http://www.glocksoft.com/trojan_port.htm
  5. C. Ko, G. Fink, K. Levitt, 'Automated Detection of Vulnerabilities in Privileged Programs by Execution Monitoring,' Proc. of the 10th Annual Computer Security Applications Conference, Orlando, FL, 5-9 Dec. 1994, pp. 134-144 https://doi.org/10.1109/CSAC.1994.367313
  6. F. Schneider, 'Enforceable Security Policies', Techbnical Report, TR98-1664, Dept of Computer Science, Cornell University, 1998
  7. A. Acharya, M. Raje, 'MAPbox : Using Parameterized Behavior Classes to Confine Applications', Technical report TRCS99-15, Dept of Computer Science, University of Califormia, Santa Barbara
  8. EROS: The Extremely Reliable Operating System, http://www.eros-os.org
  9. T. Mitchem and R. Lu and R. O'Brien, 'Using Kernel Hypervisors to Secure Applications', in the Proc of the Annual Computer Security Application Conference(ACSAC97), 1997 https://doi.org/10.1109/CSAC.1997.646188
  10. S. Oaks, 'Java Security', O'Reilly, 1998
  11. 'Trojan Horses', http://www.ladysharrow.ndirect.co.uk/Maximum%20Security/trojans.htm
  12. S. Mann, E. L. Michell, 'Linux System Securtiy : An Administrator's Guide to Open Source Security Tools', Prentice Hall RTR, 2000
  13. 'Navidad.exe', http://home.ahnlab.com/virus-info/navidad.html, 2000
  14. J. Viega, J.T. Bloch, T. Kohno, G. McGraw, 'ITS4: A Static Vulnerability Scanner for C and C++ Code', In Proc. of the 16th Annual Computer Security Applications Conference(ACSAC'00), 2000 https://doi.org/10.1109/ACSAC.2000.898880
  15. H. Thimbleby, S. Anderson, P. Cairns, 'A framework for modeling Trojans and computer virus infection', Computer Journal, Vol. 41, No. 7, pp444-458, 1999 https://doi.org/10.1093/comjnl/41.7.444
  16. I. Goldberg, D. Wagner, R. Thomas, E. A. Brewer, 'A Secure Environment for Untrusted Helper Applications confining the Wily Hacker', Technical Report, University of California Berkeley, 1996
  17. G.C. Necula and P. Lee, 'Safe Kernel Extensions Without Run-Time Checking', in the Proc. of the Second Symposium on Operating Systems Design and Implementation(OSDI'96), 1996 https://doi.org/10.1145/238721.238781
  18. R. D. Nicola, G. Ferrari, R. Pugliese, 'Types as Specifications of Access Polices', Available at http://rap.dsi.unifi.it/papers/html. To appear in Theoretical Computer Science, http://www.cs.engruky.edu/~lewis/essays/compilers/Ⅱ-lang.html
  19. Alfred V. Aho, Ravi Sethi, and Jeffrey D. Ullman, 'Compilers: Principles, Techniques and Tools', Addison-Wesley 1986