Journal of Advanced Navigation Technology (한국항행학회논문지)

The Korean Navigation Institute (한국항행학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis on the Infection Process and Abstract of the Hidden Files of Rustock B and C

Rustock B형과 C형의 감염절차 분석 및 은닉파일 추출

  • Received : 2011.11.27
  • Accepted : 2012.02.28
  • Published : 2012.02.29
Download PDF
⟨ Previous Next ⟩

Abstract

The technologies used by the malicious codes have been being advanced and complicated through a merge of the existing techniques, while the damages by the malicious codes are moving from individuals and industries to organizations and countries. In this situation, the security experts are corresponding with the static analysis and the dynamic analysis such as signature searching and reverse engineering, respectively. However, they have had a hard time to respond against the obfuscated intelligent new zero day malicious codes. Therefore, it is required to prepare a process for a preliminary investigation and consequent detailed investigation on the infection sequence and the hiding mechanism to neutralize the malicious code. In this paper, we studied the formalization of the process against the infection sequence and the file hiding techniques with an empirical application to the Rustock malicious code that is most notorious as a spammer. Using the result, it is expected to promptly respond to newly released malicious codes.

최근 악성코드에 의한 피해가 개인이나 기업으로부터 기관이나 국가 차원으로 진화하고 있고 악성코드가 사용하는 기술 역시 점점 고도화되고 다양한 기법들을 흡수하여 매우 지능적으로 발전하고 있다. 한편, 보안전문가들은 시그니쳐 탐색 등의 정적 분석과 역공학 등의 동적 분석으로 이에 대응하고 있지만 이는 새로이 출현하는 지능적인 악성코드에 긴급히 대처하기에는 부족함이 있다. 따라서, 악성코드들의 행위 분석에 앞서 대개의 악성코드들이 가지는 감염절차 및 파일 은닉기법에 대한 분석을 우선적으로 수행하고 이를 토대로 재빠른 초동분석이 이루어진 후 그 무력화 방법을 포함한 제반 상세분석이 이루어질 것이 요구된다. 따라서 본 논문에서는 악성코드의 초기 진압을 위하여 요구되는 감염 절차의 분석과 파일 은닉기법의 분석 방안을 연구하였으며 그 과정에서 스팸메일을 발송하는 것으로 가장 널리 알려진 Rustock을 대상으로 실험하였다. 실험 결과를 통하여, 향후 새로이 출현하는 악성코드에 대한 재빠른 대처가 가능할 것으로 판단된다.

Keywords

References

  1. 김혁준, 이상진, "네트워크 포렌식을 통한 분산서비스거부공격 비교분석," 한국정보보호학회 학회지, 21(4), pp. 69-74, 2011년 8월
  2. Suresh, M., Anitha, R., "Evaluating Machine Learning Algorithms for Detecting DDoS Attacks," Proceedings of the Fourth International Conference on Advances in Network Security and Applications(CNSA 2011), India, pp. 441-452, Jul. 15-17, 2011
  3. 김태희, 강문설, "수집과 빈도 분석을 이용한 인터넷 게시판의 스팸 메시지 차단 방법," 한국정보처리학회 논문지, 18C(2), pp. 61-70, 2011년 4월 https://doi.org/10.3745/KIPSTC.2011.18C.2.061
  4. 인터넷침해사고대응지원센터(KISC), "국내 주요 사이트 대상 분산서비스거부공격 분석보고서," 한국정보보호진흥원, 2009년 7월
  5. 안철수연구소, "3.4 DDoS 분석보고서," 2011년 3월
  6. 금융보안연구원, "3.4 DDoS 공격 분석결과," pp. 2-6, 2011년 3월
  7. 이경률, 임강빈, "Stuxnet의 파일 은닉 기법 분석 및 무력화 방법 연구," 한국항행학회 논문지, 14(6), pp. 838-837, 2010년 12월
  8. Microsoft, "Battling the Rustock Threat," Security Intelligence Report Special Edition, Jan. 2010 through May 2011
  9. 임을규 외, "악성코드 유형에 따른 자동화 분석 방법론 연구," 한국인터넷진흥원, 2009. 6
  10. 임강빈, 이경률 외, "분석기법 우회 악성코드 분석 방법 연구," 한국인터넷진흥원, 2010. 11