악성코드 은닉 문서파일 탐지를 위한 이메일 백신 클라우드 시스템

An Email Vaccine Cloud System for Detecting Malcode-Bearing Documents

  • 박춘식 (서울여자대학교 정보보호학과)
  • 투고 : 2009.12.22
  • 심사 : 2010.03.03
  • 발행 : 2010.05.31

초록

최근 악성 문서파일이 첨부된 이메일을 특정인에게 발송하여 중요자료를 절취하는 형태의 해킹사고가 지속적으로 발생하고 있다. 이러한 공격에는 공격 성공률 향상과 바이러스 백신의 탐지회피를 위해 주로 제로데이 취약점이 이용되고 있으며, 적절한 사회공학적 기법이 병행되는 것이 일반적이다. 본 논문에서는 조직으로 유입되는 이메일 첨부 문서파일에 대한 행위기반 악성문서 탐지기술이 적용된 이메일 백신 클라우드 시스템을 제안한다. 이메일에 포함된 문서파일을 추출하여 이메일 백신 클라우드 시스템에 전달하면, 백신 클라우드에서 시그니쳐 기반 분석 및 행위기반 분석을 통해 악성코드 포함 여부를 판단 후 악성코드를 제거한다. 행위분석 과정에서 의도하지 않은 실행파일 생성, 프로세스 실행, 레지스트리 엔트리 접근, 인터넷 접속시도 등이 발견되면 악성문서로 판단하게 된다. 본 논문에서 제시된 이메일 백신 클라우드 시스템은 악성문서 첨부 이메일의 유입을 효과적으로 차단함으로써 중요자료 유출 등의 각종 사이버테러 예방에 도움이 될 것으로 기대 된다.

Nowadays, email-based targeted attacks using malcode-bearing documents have been steadily increased. To improve the success rate of the attack and avoid anti-viruses, attackers mainly employ zero-day exploits and relevant social engineering techniques. In this paper, we propose an architecture of the email vaccine cloud system to prevent targeted attacks using malcode-bearing documents. The system extracts attached document files from email messages, performs behavior analysis as well as signature-based detection in the virtual machine environment, and completely removes malicious documents from the messages. In the process of behavior analysis, the documents are regarded as malicious ones in cases of creating executable files, launching new processes, accessing critical registry entries, connecting to the Internet. The email vaccine cloud system will help prevent various cyber terrors such as information leakages by preventing email based targeted attacks.

키워드

과제정보

연구 과제 주관 기관 : 서울여자대학교

참고문헌

  1. Targeted Trojan Email Attacks, http://www.us-cert.gov/cas/techalerts/TA05-189A.html
  2. 한국정보보호진흥원, "인터넷 침해사고 동향 및 분석월보-2008년 침해사고 동향 및 2009년 전망 특별 보고서," 한국정보보호진흥원 인터넷침해사고대응지원센터, 2008, 12.
  3. MessageLabs Intelligence: 2008 Annual Security Report, 2008, http://www.messagelabs.com/mlireport/MLIReport_Annual_2008_FINAL.pdf
  4. SANS Top-20 Security Risks, Nov., 2007, http://www.sans.org/top20/2007/top20.pdf
  5. 군.주한미군 장성 겨냥 北 해커 해킹메일 살포, 서울신문, 2009, 6, 17, http://www.seoul.co.kr/news/newsView.php?id=20090617004007
  6. 이명박 대통령 사칭 해킹메일 조심!, 동아일보, 2008, 3, 14, http://news.donga.com/fbin/output?n=200803140410
  7. OSSEC Hornepage, http://www.ossec.net/main/
  8. Haiyan Qiao, Jianfeng Peng, Chuan Feng, and Jerzy W. Rozenblit, "Behavior Analysis-Based Learning Framework for Host Level Intrusion Detection," Proc. of the 14 th IEEE Intl. Conference and Workshops on the Engineering of Computer Based Systems (ECBS '07), pp. 441-447, Tucson, Arizona, March 2007.
  9. S. Sidiroglou, J. Ioannidis, A. D. Keromvtis, and S. J. Stolfo, "An Email Worm Vaccine Architecture," In Proceedings of the 1st Information Security Practice and Experience Conference (ISPEC), pp. 82-101, April 2005.
  10. M. Masud, L. Khan, and B. Thuraisingham, "A hybrid model to detect malicious executables," IEEE International Conference on Communications 2007(ICC '07), pp. 1443-1448, 2007.
  11. W. Li, S. Stolfo, A. Stavrou, E. Androulaki, and A. Kerornytis, "A Study of Malcode-Bearing Documents," In Conference on Detection of Intrusions and Malware & Vulnerability Assessment(DIMVA), pp.231-250, 2007.